Michal Žďánský Bezpečnostní tým společnosti Red Hat vyvíjející stejnojmennou linuxovou distribuci objevil závažnou chybu v UNIXu, systému, který je základem jak Linuxu, tak OS X. Kritická chyba v procesoru bash teoreticky umožňuje útočníkovi zcela převzít kontrolu nad napadeným počítačem. Nejedná se přitom o novou chybu, naopak v UNIXových systémech existuje už celých dvacet let.
Bash je shellový procesor, který vykonává povely zadané v příkazové řádce, základním rozhraní Terminálu v OS X i jeho obdoby v Linuxu. Příkazy může uživatel zadávat ručně, ale procesor mohou využívat i některé aplikace. Útok tedy nemusí směřovat přímo na bash, ale na jakoukoliv aplikaci, která jej využívá. Podle bezpečnostních expertů je tato chyba s pojmenováním Shellshock více nebezpečná než chyba SSL knihovny Heartbleed, která postihla velkou část internetu.
Podle Applu by měli být uživatelé využívající výchozí nastavení systému v bezpečí. Společnost se vyjádřila pro server iMore následovně:
Velká část uživatelů OS X není v ohrožení nedávno objevenou zranitelností bash. V bashi, Unixovém příkazovém procesoru a jazyku zahrnutém v OS X, je chyba, která může neoprávněným uživatelům umožnit přístup k získání kontroly nad zranitelným systémem na dálku. Systémy OS X jsou ve výchozím stavu bezpečné a nejsou vystavené vzdáleným zneužitím chyby v bashi, pakliže uživatel nekonfiguroval pokročilé unixové služby. Pracujeme na tom, abychom co nejdříve poskytli softwarovou aktualizaci pro naše pokročilé uživatele Unixu.
Na serveru StackExchange se objevil návod, jak mohou uživatelé svůj systém na zranitelnost otestovat a také způsob, jakým chybu manuálně opravit prostřednictvím terminálu. U příspěvku najdete také rozsáhlou diskuzi.
Dopad Shellshocku je teoreticky obrovský. Unix totiž najdete nejen v OS X a v počítačích s některou z linuxových distribucí, ale v nemalém počtu také na serverech, síťových prvcích a další elektronice.
Zajímavý článek. Díky za info
Muze tu pak nekdo napsat, kdy to Apple zalepil? Chyba uz je opravena..
Nema náhodou i android unixové jádro?
Stejně jako iOS.
Jenomže tohle není problém unixových jader ale bashe
Chyba hned v nadpise. Chybou netrpi Unix, ale bash. Unix nemusi obsahovat bash a neni to tedy chyba Unixu.
Android je Linux s JVM Dalvik. Takže kernel je Linuxový, včetně utiit jako je Bash.
Ale on ten problém je poněkud nafouknutý. Na OS X to v podstatě nemá dopad, závažné to je jen pro Linuxové servery, které pomocí Bash spouští daemony jako je Apache atd.
Ale i tohle je poměrně neobvyklé, například na Debian a Ubuntu se standardně pro serverové služby nepoužívá Bash, ale Dash, a ten není postižený.
Na různých routerech, WiFI AP atp je to výslovně nepravděpodobné, protože na nich bývá stripovaná verze Linuxu, kde se Bash nevejde, používá se místo toho Busybox nebo zsh atd…
Takže si myslím, že to je trošku mediální bublina.
Dalvik není JVM.
„Kernel je linuxový včetně utilit“ nedává smysl.
Android obvykle bash neobsahuje, ani jiné běžné GNU utility.
To nejdůležitější(!): Problém není to, pokud je Apache nebo jiný server spouštěný bashem ale pokud sám bash spouští.
Zsh do toho moc netahej, je spíš užívaný interaktivně.
Není to bublina.
Ale jinak to máš celkem správně.
Update je venku