Michal Ždanský Echipa de securitate de la Red Hat, care dezvoltă distribuția Linux cu același nume, a descoperit o defecțiune critică în UNIX, sistemul care stă la baza atât Linux, cât și OS X. O defecțiune critică a procesorului pocni în teorie, permite atacatorului să preia controlul complet asupra computerului compromis. Acesta nu este un bug nou, dimpotrivă, există în sistemele UNIX de douăzeci de ani.
Bash este un procesor shell care execută comenzile introduse în linia de comandă, interfața de bază Terminal în OS X și echivalentul său în Linux. Comenzile pot fi introduse manual de către utilizator, dar unele aplicații pot folosi și procesorul. Atacul nu trebuie să vizeze direct bash, ci orice aplicație care îl folosește. Potrivit experților în securitate, acest bug numit Shellshock este mai periculos decât Eroare SSL bibliotecă Heartbleed, care a afectat o mare parte a internetului.
Potrivit Apple, utilizatorii care folosesc setările implicite de sistem ar trebui să fie în siguranță. Compania a comentat pentru server iMore după cum urmează:
O mare parte a utilizatorilor OS X nu sunt expuși riscului de vulnerabilitatea bash descoperită recent. Există o eroare în bash, procesorul de comandă Unix și limbajul inclus în OS X, care ar putea permite utilizatorilor neautorizați să obțină acces pentru a controla de la distanță un sistem vulnerabil. Sistemele OS X sunt sigure în mod implicit și nu sunt vulnerabile la exploatările de la distanță ale bug-ului bash, cu excepția cazului în care utilizatorul a configurat servicii Unix avansate. Lucrăm pentru a oferi o actualizare software pentru utilizatorii noștri avansați Unix cât mai curând posibil.
Pe server StackExchange el a apărut instrucție, cum își pot testa utilizatorii sistemul pentru vulnerabilități și cum să remedieze manual eroarea prin terminal. Veți găsi, de asemenea, o discuție extinsă cu postarea.
Impactul Shellshock este teoretic uriaș. Puteți găsi Unix nu numai în OS X și în computerele cu una dintre distribuțiile Linux, ci și într-un număr considerabil pe servere, elemente de rețea și alte componente electronice.
Interesant articol. Multumesc pentru informatii
Poate cineva să scrie aici când Apple a sigilat-o? Eroarea a fost deja remediată..
Android nu are un nucleu Unix din întâmplare?
La fel ca iOS.
Totuși, aceasta nu este o problemă a nucleelor Unix, ci a bash
Eroare chiar în titlu. Nu Unix suferă de eroare, ci bash. Unix nu trebuie să includă bash, deci nu este vina lui Unix.
Android este Linux cu Dalvik JVM. Deci nucleul este Linux, inclusiv utilități precum Bash.
Dar această problemă este oarecum umflată. Practic, nu are niciun impact asupra OS X, este grav doar pentru serverele Linux care folosesc Bash pentru a rula demoni precum Apache etc.
Dar acest lucru este, de asemenea, destul de neobișnuit, de exemplu pe Debian și Ubuntu, Bash nu este folosit implicit pentru serviciile de server, ci Dash și nu este afectat.
Pe diverse routere, AP-uri WiFI etc., este în mod explicit puțin probabil, deoarece au tendința de a avea o versiune de Linux dezactivată în care Bash nu se potrivește, folosind Busybox sau zsh, etc.
Așa că cred că este un pic o bulă media.
Dalvik nu este un JVM.
„Kernel-ul este Linux, inclusiv utilitățile” nu are sens.
De obicei, Android nu include bash sau alte utilitare GNU comune.
Cel mai important lucru (!): Problema nu este dacă Apache sau un alt server este pornit de bash, ci dacă bash în sine rulează.
Nu vă implicați prea mult cu Zsh, este mai probabil să fie folosit interactiv.
Nu este o bulă.
Dar in rest ai mare dreptate.
Actualizarea a ieșit