Міхал Жданський Команда безпеки Red Hat, яка розробляє однойменний дистрибутив Linux, виявила критичну помилку в UNIX, системі, яка лежить в основі як Linux, так і OS X. Критична помилка в процесорі бити теоретично це дозволяє зловмиснику отримати повний контроль над скомпрометованим комп’ютером. Це не нова помилка, навпаки, вона існує в системах UNIX протягом двадцяти років.
Bash — це процесор оболонки, який виконує команди, введені в командному рядку, основний інтерфейс терміналу в OS X і його еквівалент в Linux. Користувач може вводити команди вручну, але деякі програми також можуть використовувати процесор. Атака не повинна бути спрямована безпосередньо на bash, а на будь-яку програму, яка його використовує. На думку експертів з безпеки, ця помилка під назвою Shellshock є більш небезпечною, ніж Помилка SSL бібліотеки Heartbleed, що вплинуло на більшу частину Інтернету.
За словами Apple, користувачі, які використовують системні налаштування за замовчуванням, повинні бути в безпеці. Компанія дала коментар для сервера Я більше наступним чином:
Значній частині користувачів OS X не загрожує нещодавно виявлена вразливість bash. Існує помилка в bash, командному процесорі Unix і мові, включеному в OS X, яка може дозволити неавторизованим користувачам отримати доступ для дистанційного керування вразливою системою. Системи OS X безпечні за замовчуванням і не вразливі до віддаленого використання помилки bash, якщо користувач не налаштував розширені служби Unix. Ми працюємо над тим, щоб якомога швидше забезпечити оновлення програмного забезпечення для наших досвідчених користувачів Unix.
На сервері StackExchange він з'явився інструкції, як користувачі можуть перевірити свою систему на вразливості та як вручну виправити помилку через термінал. Ви також знайдете широке обговорення з публікацією.
Вплив Shellshock теоретично величезний. Ви можете знайти Unix не тільки в OS X і в комп'ютерах з одним з дистрибутивів Linux, але і в значній кількості на серверах, елементах мережі та іншій електроніці.
Цікава стаття. Дякую за інформацію
Хтось може написати тут, коли Apple це запечатала? Помилка вже виправлена..
Чи випадково в Android немає ядра Unix?
Так само, як iOS.
Однак це проблема не ядер Unix, а bash
Помилка прямо в назві. Це не Unix, що страждає від помилки, це bash. Unix не повинен включати bash, тому це не вина Unix.
Android — це Linux із Dalvik JVM. Отже, ядром є Linux, включаючи такі утиліти, як Bash.
Але ця проблема дещо роздута. Це в основному не впливає на OS X, це серйозно лише для серверів Linux, які використовують Bash для запуску демонов, таких як Apache тощо.
Але навіть це досить незвично, наприклад, у Debian і Ubuntu за замовчуванням для серверних служб використовується не Bash, а Dash, і це не впливає.
На різних маршрутизаторах, точках доступу Wi-Fi тощо це явно малоймовірно, оскільки вони, як правило, мають очищену версію Linux, де Bash не підходить, замість цього використовують Busybox або zsh тощо...
Тож я думаю, що це трохи медійна бульбашка.
Dalvik не є JVM.
«Ядро — це Linux, включаючи утиліти» не має сенсу.
Android зазвичай не містить bash чи інших поширених утиліт GNU.
Найважливіше (!): проблема полягає не в тому, що Apache або інший сервер запускається bash, а в тому, що саме bash запущено.
Не захоплюйтеся Zsh, швидше за все, він буде використовуватися в інтерактивному режимі.
Це не бульбашка.
Але в іншому ви цілком праві.
Оновлення вийшло