Michal Ždanský Öryggishópurinn hjá Red Hat, sem þróar samnefnda Linux dreifingu, uppgötvaði mikilvægan galla í UNIX, kerfinu sem liggur að baki bæði Linux og OS X. Mikilvægur galli í örgjörvanum bash fræðilega séð gerir það árásarmanninum kleift að ná fullri stjórn á tölvunni sem er í hættu. Þetta er ekki ný villa, þvert á móti, hún hefur verið til í UNIX kerfum í tuttugu ár.
Bash er skel örgjörvi sem framkvæmir skipanir sem færðar eru inn í skipanalínunni, grunnviðmót Terminal í OS X og jafngildi þess í Linux. Notandinn getur slegið inn skipanir handvirkt, en sum forrit geta einnig notað örgjörvann. Árásin þarf ekki að beinast beint að bash heldur hvaða forriti sem notar hana. Samkvæmt öryggissérfræðingum er þessi villa sem heitir Shellshock hættulegri en Heartbleed bókasafn SSL villa, sem hafði áhrif á stóran hluta internetsins.
Samkvæmt Apple ættu notendur sem nota sjálfgefnar kerfisstillingar að vera öruggir. Fyrirtækið skrifaði athugasemd fyrir netþjóninn Ég meira eins og hér segir:
Stór hluti OS X notenda er ekki í hættu vegna nýlega uppgötvaðra bash varnarleysis. Það er galli í bash, Unix stjórn örgjörvanum og tungumáli sem fylgir OS X, sem gæti gert óviðkomandi notendum kleift að fá aðgang að fjarstýringu viðkvæmu kerfis. OS X kerfi eru sjálfgefið örugg og eru ekki viðkvæm fyrir fjarnotkun á bash gallanum nema notandinn hafi stillt háþróaða Unix þjónustu. Við erum að vinna að því að bjóða upp á hugbúnaðaruppfærslu fyrir háþróaða Unix notendur okkar eins fljótt og auðið er.
Á þjóninum StackExchange hann birtist leiðbeiningar, hvernig notendur geta prófað kerfið sitt fyrir varnarleysi og hvernig á að laga villuna handvirkt í gegnum flugstöðina. Þú finnur líka mikla umræðu við færsluna.
Áhrif Shellshock eru fræðilega mikil. Þú getur fundið Unix ekki aðeins í OS X og í tölvum með einni af Linux dreifingunum, heldur einnig í töluverðum fjölda á netþjónum, netþáttum og öðrum raftækjum.
Áhugaverð grein. Takk fyrir upplýsingarnar
Getur einhver skrifað hér þegar Apple innsiglaði það? Villan hefur þegar verið lagfærð..
Er Android ekki með Unix kjarna af einhverjum tilviljun?
Rétt eins og iOS.
Hins vegar er þetta ekki vandamál Unix kjarna, heldur bash
Villa rétt í titlinum. Það er ekki Unix sem þjáist af villunni, það er bash. Unix þarf ekki að innihalda bash, svo það er ekki Unix að kenna.
Android er Linux með Dalvik JVM. Þannig að kjarninn er Linux, þar á meðal tól eins og Bash.
En það vandamál er nokkuð uppblásið. Það hefur í grundvallaratriðum engin áhrif á OS X, það er aðeins alvarlegt fyrir Linux netþjóna sem nota Bash til að keyra púka eins og Apache o.s.frv.
En jafnvel þetta er frekar óvenjulegt, til dæmis á Debian og Ubuntu, Bash er ekki sjálfgefið notað fyrir þjónustu netþjóna, heldur Dash, og það hefur ekki áhrif á það.
Á ýmsum beinum, WiFI AP, o.s.frv., er það beinlínis ólíklegt, vegna þess að þeir hafa tilhneigingu til að hafa strípaða útgáfu af Linux þar sem Bash passar ekki, nota Busybox eða zsh í staðinn, osfrv...
Þannig að ég held að þetta sé hálfgerð fjölmiðlabóla.
Dalvík er ekki JVM.
„Kernel er Linux þar á meðal tól“ meikar ekki sens.
Android inniheldur venjulega ekki bash, eða önnur algeng GNU tól.
Það mikilvægasta(!): Vandamálið er ekki ef Apache eða annar netþjónn er ræstur af bash, heldur hvort bash sjálfur er í gangi.
Ekki taka of þátt í Zsh, það er líklegra að það sé notað gagnvirkt.
Það er ekki kúla.
En annars er það alveg rétt hjá þér.
Uppfærslan er komin út