Михал Жданский Команда безопасности компании Red Hat, которая разрабатывает одноименный дистрибутив Linux, обнаружила критическую ошибку в UNIX — системе, лежащей в основе как Linux, так и OS X. Критическая ошибка в процессоре. колотить теоретически это позволяет злоумышленнику получить полный контроль над скомпрометированным компьютером. Это не новая ошибка, напротив, она существует в UNIX-системах уже двадцать лет.
Bash — это процессор оболочки, выполняющий команды, вводимые в командной строке, базовый интерфейс терминала в OS X и его эквивалент в Linux. Команды могут вводиться пользователем вручную, но некоторые приложения также могут использовать процессор. Атака не обязательно должна быть направлена непосредственно на bash, а на любое приложение, которое его использует. По мнению экспертов по безопасности, эта ошибка под названием Shellshock более опасна, чем Ошибка SSL библиотеки Heartbleed, что затронуло большую часть Интернета.
По мнению Apple, пользователи, использующие системные настройки по умолчанию, должны быть в безопасности. Компания прокомментировала сервер iMore следующее:
Большая часть пользователей OS X не подвергается риску из-за недавно обнаруженной уязвимости bash. В bash, командном процессоре и языке Unix, включенном в OS X, есть ошибка, которая может позволить неавторизованным пользователям получить доступ для удаленного управления уязвимой системой. Системы OS X по умолчанию безопасны и не уязвимы для удаленных эксплойтов ошибки bash, если пользователь не настроил расширенные службы Unix. Мы работаем над тем, чтобы как можно скорее предоставить обновление программного обеспечения для наших опытных пользователей Unix.
На сервере StackExchange он появился инструкции, как пользователи могут проверить свою систему на наличие уязвимостей и как вручную исправить ошибку через терминал. Вы также можете найти обширное обсуждение этого поста.
Влияние Shellshock теоретически огромно. Вы можете встретить Unix не только в OS X и в компьютерах с одним из дистрибутивов Linux, но и в немалом количестве на серверах, сетевых элементах и другой электронике.
Интересная статья. Спасибо за информацию
Может кто-нибудь написать здесь, когда Apple это запечатала? Ошибка уже исправлена..
У Android случайно нет ядра Unix?
Точно так же, как iOS.
Однако это проблема не ядер unix, а bash
Ошибка прямо в заголовке. От этой ошибки страдает не Unix, а bash. Unix не обязательно должен включать bash, так что это не вина Unix.
Android — это Linux с Dalvik JVM. Итак, ядро — Linux, включая такие утилиты, как Bash.
Но эта проблема несколько раздута. По сути, это не влияет на OS X, это серьезно только для серверов Linux, которые используют Bash для запуска таких демонов, как Apache и т. д.
Но даже это довольно необычно, например в Debian и Ubuntu по умолчанию для серверных служб используется не Bash, а Dash, и это не затрагивается.
На различных маршрутизаторах, точках доступа WiFI и т. д. это явно маловероятно, потому что они, как правило, имеют урезанную версию Linux, куда не подходит Bash, вместо этого используют Busybox или zsh и т. д.
Так что я думаю, что это своего рода медиа-пузырь.
Dalvik — это не JVM.
«Ядро — это Linux, включая утилиты» не имеет смысла.
Android обычно не включает bash или другие распространенные утилиты GNU.
Самое главное(!): Проблема не в том, запущен ли Apache или другой сервер с помощью bash, а в том, запущен ли сам bash.
Не увлекайтесь Zsh, скорее всего, его можно будет использовать в интерактивном режиме.
Это не пузырь.
Но в остальном вы совершенно правы.
Обновление вышло