Michal Ždanský Die sekuriteitspan by Red Hat, wat die Linux-verspreiding met dieselfde naam ontwikkel, het 'n kritieke fout in UNIX ontdek, die stelsel wat beide Linux en OS X onderlê. 'n Kritieke fout in die verwerker bash in teorie laat dit die aanvaller toe om volledige beheer oor die gekompromitteerde rekenaar te neem. Dit is nie 'n nuwe fout nie, inteendeel, dit bestaan al twintig jaar in UNIX-stelsels.
Bash is 'n dopverwerker wat opdragte uitvoer wat in die opdragreël ingevoer is, die basiese Terminal-koppelvlak in OS X en die ekwivalent daarvan in Linux. Opdragte kan handmatig deur die gebruiker ingevoer word, maar sommige toepassings kan ook die verwerker gebruik. Die aanval hoef nie direk op bash gerig te wees nie, maar op enige toepassing wat dit gebruik. Volgens sekuriteitskenners is hierdie fout met die naam Shellshock gevaarliker as Heartbleed-biblioteek SSL-fout, wat baie van die internet geraak het.
Volgens Apple behoort gebruikers wat die verstekstelselinstellings gebruik veilig te wees. Die maatskappy het kommentaar gelewer vir die bediener imore soos volg:
'N Groot deel van OS X-gebruikers loop nie gevaar van die onlangs ontdekte bash-kwesbaarheid nie. Daar is 'n fout in bash, die Unix-opdragverwerker en taal wat in OS X ingesluit is, wat ongemagtigde gebruikers kan toelaat om toegang te verkry om 'n kwesbare stelsel op afstand te beheer. OS X-stelsels is by verstek veilig en is nie kwesbaar vir afgeleë misbruik van die bash-fout nie, tensy die gebruiker gevorderde Unix-dienste opgestel het. Ons werk daaraan om so gou moontlik 'n sagteware-opdatering vir ons gevorderde Unix-gebruikers te verskaf.
Op die bediener StackExchange het hy verskyn instruksies, hoe gebruikers hul stelsel vir kwesbaarhede kan toets, en hoe om die fout met die hand deur die terminale reg te stel. Jy sal ook 'n uitgebreide bespreking met die pos vind.
Die impak van Shellshock is teoreties groot. U kan Unix nie net in OS X en in rekenaars met een van die Linux-verspreidings vind nie, maar ook in 'n aansienlike aantal op bedieners, netwerkelemente en ander elektronika.
Interessante artikel. Dankie vir die inligting
Kan iemand hier skryf wanneer Apple dit verseël het? Die fout is reeds reggestel..
Het Android nie toevallig 'n Unix-kern nie?
Net soos iOS.
Dit is egter nie 'n probleem van unix-pitte nie, maar van bash
Fout reg in die titel. Dit is nie Unix wat aan die fout ly nie, dit is bash. Unix hoef nie bash in te sluit nie, so dit is nie Unix se skuld nie.
Android is Linux met Dalvik JVM. Die kern is dus Linux, insluitend nutsprogramme soos Bash.
Maar daardie probleem is ietwat opgeblaas. Dit het basies geen impak op OS X nie, dit is slegs ernstig vir Linux-bedieners wat Bash gebruik om daemone soos Apache, ens.
Maar selfs dit is nogal ongewoon, byvoorbeeld op Debian en Ubuntu, word Bash nie by verstek vir bedienerdienste gebruik nie, maar Dash, en dit word nie geraak nie.
Op verskeie routers, WiFI AP's, ens., is dit uitdruklik onwaarskynlik, want hulle is geneig om 'n gestroopte weergawe van Linux te hê waar Bash nie sal pas nie, gebruik eerder Busybox of zsh, ens.
So ek dink dit is 'n bietjie van 'n mediaborrel.
Dalvik is nie 'n JVM nie.
"Kernel is Linux insluitend nutsprogramme" maak nie sin nie.
Android bevat gewoonlik nie bash, of ander algemene GNU-hulpprogramme nie.
Die belangrikste ding(!): Die probleem is nie as Apache of 'n ander bediener deur bash begin word nie, maar as bash self loop.
Moenie te betrokke raak by Zsh nie, dit is meer geneig om interaktief gebruik te word.
Dit is nie 'n borrel nie.
Maar andersins is jy heeltemal reg.
Die opdatering is uit