Michal Ždanský Ekip sekirite nan Red Hat, ki devlope distribisyon Linux ki gen menm non an, te dekouvri yon defo kritik nan UNIX, sistèm nan ki baze sou Linux ak OS X. Yon defo kritik nan processeur a. frape an teyori, li pèmèt atakè a pran kontwòl konplè sou òdinatè a konpwomèt. Sa a se pa yon nouvo ensèk, okontrè, li te egziste nan sistèm UNIX pou ven ane.
Bash se yon processeur koki ki egzekite kòmandman yo antre nan liy lòd la, koòdone debaz Tèminal la nan OS X ak ekivalan li yo nan Linux. Kòmandman yo ka antre manyèlman pa itilizatè a, men kèk aplikasyon kapab tou itilize processeur a. Atak la pa dwe vize dirèkteman nan bash, men nan nenpòt aplikasyon ki sèvi ak li. Dapre ekspè sekirite, ensèk sa a ki rele Shellshock pi danjere pase Erè SSL bibliyotèk Heartbleed, ki afekte anpil nan entènèt la.
Dapre Apple, itilizatè yo itilize paramèt sistèm default yo ta dwe san danje. Konpayi an fè kòmantè pou sèvè a mwen plis jan sa a:
Yon gwo pati nan itilizatè OS X yo pa nan risk nan vilnerabilite bash ki fèk dekouvri. Gen yon ensèk nan bash, processeur a kòmand Unix ak lang ki enkli nan OS X, ki ta ka pèmèt itilizatè san otorizasyon jwenn aksè nan kontwòl adistans yon sistèm vilnerab. OS X sistèm yo an sekirite pa default epi yo pa vilnerab a eksplwatasyon aleka nan ensèk la bash sof si itilizatè a te konfigirasyon sèvis avanse Unix. Nou ap travay pou bay yon ajou lojisyèl pou itilizatè avanse Unix nou yo pi vit posib.
Sou sèvè a StackExchange li te parèt enstriksyon yo, ki jan itilizatè yo ka teste sistèm yo pou frajilite, ak ki jan yo manyèlman ranje ensèk la atravè tèminal la. Ou pral jwenn tou yon diskisyon vaste ak pòs la.
Enpak Shellshock se teyorikman gwo. Ou ka jwenn Unix pa sèlman nan OS X ak nan òdinatè ak youn nan distribisyon Linux yo, men tou nan yon kantite konsiderab sou serveurs, eleman rezo ak lòt elektwonik.
Atik enteresan. Mèsi pou enfòmasyon an
Èske yon moun ka ekri isit la lè Apple sele li? Erè a deja ranje..
Èske Android pa gen yon nwayo Unix pa nenpòt chans?
Jis tankou iOS.
Sepandan, sa a se pa yon pwoblèm nan nwayo Unix, men nan bash
Erè dwat nan tit la. Se pa Unix ki soufri ak pinèz la, se bash. Unix pa oblije enkli bash, kidonk li pa fòt Unix.
Android se Linux ak Dalvik JVM. Se konsa, nwayo a se Linux, ki gen ladan sèvis piblik tankou Bash.
Men, pwoblèm sa a se yon ti jan gonfle. Li fondamantalman pa gen okenn enpak sou OS X, li se sèlman grav pou serveurs Linux ki itilize Bash pou kouri demon tankou Apache, elatriye.
Men, menm sa a se byen etranj, pou egzanp sou Debian ak Ubuntu, Bash pa itilize pa default pou sèvis sèvè, men Dash, epi li pa afekte.
Sou plizyè routeurs, WiFI AP, elatriye, li klèman fasil, paske yo gen tandans gen yon vèsyon dezabiye nan Linux kote Bash pa pral anfòm, lè l sèvi avèk Busybox oswa zsh olye, elatriye ...
Se konsa, mwen panse ke li se yon ti jan nan yon ti wonn medya.
Dalvik se pa yon JVM.
"Kernel se Linux ki gen ladan sèvis piblik" pa fè sans.
Anjeneral Android pa gen ladan bash, oswa lòt sèvis piblik GNU komen.
Bagay ki pi enpòtan (!): Pwoblèm lan se pa si Apache oswa yon lòt sèvè kòmanse pa bash, men si bash tèt li ap kouri.
Pa jwenn twò patisipe ak Zsh, li gen plis chans yo dwe itilize entèaktif.
Se pa yon ti wonn.
Men, sinon ou byen dwat.
Aktyalizasyon a soti