Michal Ždanský Säkerhetsteamet på Red Hat, som utvecklar Linux-distributionen med samma namn, upptäckte ett kritiskt fel i UNIX, systemet som ligger till grund för både Linux och OS X. Ett kritiskt fel i processorn bash i teorin tillåter det angriparen att ta fullständig kontroll över den komprometterade datorn. Detta är ingen ny bugg, tvärtom, den har funnits i UNIX-system i tjugo år.
Bash är en skalprocessor som exekverar kommandon som anges på kommandoraden, det grundläggande terminalgränssnittet i OS X och dess motsvarighet i Linux. Kommandon kan matas in manuellt av användaren, men vissa applikationer kan också använda processorn. Attacken behöver inte riktas direkt mot bash, utan mot vilken applikation som helst som använder den. Enligt säkerhetsexperter är denna bugg som heter Shellshock farligare än Heartbleed-bibliotekets SSL-fel, vilket påverkade mycket av internet.
Enligt Apple ska användare som använder standardsysteminställningarna vara säkra. Företaget kommenterade för servern iMore som följer:
En stor del av OS X-användare är inte utsatta för den nyligen upptäckta bash-sårbarheten. Det finns en bugg i bash, Unix-kommandoprocessorn och språket som ingår i OS X, som kan tillåta obehöriga användare att få åtkomst till att fjärrstyra ett sårbart system. OS X-system är säkra som standard och är inte sårbara för fjärrexploatering av bash-buggen om inte användaren har konfigurerat avancerade Unix-tjänster. Vi arbetar för att tillhandahålla en mjukvaruuppdatering för våra avancerade Unix-användare så snart som möjligt.
På servern StackExchange han dök upp instruktioner, hur användare kan testa sitt system för sårbarheter och hur man manuellt fixar buggen via terminalen. Du hittar också en omfattande diskussion med inlägget.
Effekten av Shellshock är teoretiskt sett enorm. Du kan hitta Unix inte bara i OS X och i datorer med någon av Linux-distributionerna, utan även i ett stort antal på servrar, nätverkselement och annan elektronik.
Intressant artikel. Tack för informationen
Kan någon skriva här när Apple förseglade det? Felet är redan åtgärdat..
Har inte Android en Unix-kärna av någon slump?
Precis som iOS.
Detta är dock inte ett problem med unix-kärnor, utan för bash
Fel precis i rubriken. Det är inte Unix som lider av buggen, det är bash. Unix behöver inte inkludera bash, så det är inte Unix fel.
Android är Linux med Dalvik JVM. Så kärnan är Linux, inklusive verktyg som Bash.
Men det problemet är något uppblåst. Det har i princip ingen inverkan på OS X, det är bara allvarligt för Linux-servrar som använder Bash för att köra demoner som Apache, etc.
Men även detta är ganska ovanligt, till exempel på Debian och Ubuntu används Bash inte som standard för servertjänster, utan Dash, och det påverkas inte.
På olika routrar, WiFI AP, etc, är det uttryckligen osannolikt, eftersom de tenderar att ha en avskalad version av Linux där Bash inte passar, använder Busybox eller zsh istället, etc...
Så jag tycker att det är lite av en mediebubbla.
Dalvik är inget JVM.
"Kernel är Linux inklusive verktyg" är inte vettigt.
Android innehåller vanligtvis inte bash eller andra vanliga GNU-verktyg.
Det viktigaste(!): Problemet är inte om Apache eller en annan server startas av bash, utan om bash själv körs.
Bli inte för involverad i Zsh, det är mer sannolikt att det används interaktivt.
Det är inte en bubbla.
Men annars har du helt rätt.
Uppdateringen är ute