Міхал Жданський Сьогодні вранці Apple випустила патч небезпечні вразливості Shellshock в оболонці терміналу bash, яка гіпотетично дозволяла потенційному зловмиснику отримати повний контроль над уразливими системами як на Linux, так і на OS X. Apple кілька днів тому заявила, що більшість користувачів, які використовують налаштування за замовчуванням, безпечні, оскільки вони не використовують розширені служби unix. При цьому він пообіцяв швидкий випуск патча. Тим часом з'явився і він неофіційним способом, як перевірити вразливість системи та виправити її.
Сьогодні всі користувачі можуть усунути вразливість простим способом, тому що Apple випустила патч для своїх останніх операційних систем: OS X Mavericks, Mountain Lion і Lion. Оновлення можна встановити через меню «Оновлення програмного забезпечення» у верхньому меню (значок Apple) або в Mac App Store, де патч з’явиться серед інших оновлень. Остання операційна система OS X Yosemite, яка все ще знаходиться в бета-версії, ще не отримала виправлення, але Apple, ймовірно, випустить її в майбутній новій бета-версії, а версія Sharp, вихід якої заплановано на жовтень, майже звичайно, уразливість виправлена.
цікаво, 10.9.5 не пропонує оновлення
Потрібно вручну. http://support.apple.com/kb/DL1769
Ні, це не помилка в ядрі Unix у процесорі bash.
Bash не є частиною ядра і не є процесором.
Чи не небезпечно це лише для серверів? Тобто якщо користувач не запускає сліпо всяку нісенітницю з електронної пошти?
Обов’язково застосовуйте виправлення.
Я не можу придумати прямий експлойт у більш поширеній інсталяції OS X для настільного комп’ютера (що нічого не означає)... але цілком можливо, що десь є ярлик, де програміст сором’язливо полегшив життя, мезанитизуючи env. Іноді в цьому контексті згадується надзвичайно поширене використання DHCP, але я не вивчав, чи це також стосується OS X.
Ще раз: останньою людиною, яка наносить глазур, є хак-лама.