Eyniadlı Linux distribütorluğunu inkişaf etdirən Red Hat-ın təhlükəsizlik komandası həm Linux, həm də OS X-in əsasını təşkil edən sistem olan UNIX-də kritik bir qüsur aşkar etdi. Prosessorda kritik qüsur bash nəzəri olaraq, bu, təcavüzkarın təhlükə altında olan kompüteri tam nəzarətə götürməsinə imkan verir. Bu yeni səhv deyil, əksinə UNIX sistemlərində iyirmi ildir mövcuddur.
Bash, əmr satırına daxil edilmiş əmrləri, OS X-də əsas Terminal interfeysini və Linux-da onun ekvivalentini yerinə yetirən qabıq prosessorudur. Əmrlər istifadəçi tərəfindən əl ilə daxil edilə bilər, lakin bəzi proqramlar prosessordan da istifadə edə bilər. Hücum birbaşa bash-a deyil, ondan istifadə edən hər hansı bir tətbiqə yönəlməlidir. Təhlükəsizlik mütəxəssislərinin fikrincə, Shellshock adlı bu səhv daha təhlükəlidir Heartbleed kitabxana SSL xətası, internetin çox hissəsinə təsir etdi.
Apple-a görə, standart sistem parametrlərindən istifadə edən istifadəçilər təhlükəsiz olmalıdırlar. Şirkət server üçün şərh etdi iMore göstərildiyi kimi:
OS X istifadəçilərinin böyük bir hissəsi bu yaxınlarda aşkar edilmiş bash zəifliyi səbəbindən risk altında deyil. Bash-da, Unix komanda prosessorunda və OS X-ə daxil olan dildə səhv var ki, bu da icazəsiz istifadəçilərə həssas sistemi uzaqdan idarə etmək imkanı əldə etməyə imkan verə bilər. OS X sistemləri defolt olaraq təhlükəsizdir və istifadəçi qabaqcıl Unix xidmətlərini konfiqurasiya etməsə, bash səhvinin uzaq istismarlarına qarşı həssas deyildir. Biz mümkün qədər tez qabaqcıl Unix istifadəçilərimiz üçün proqram yeniləməsini təmin etmək üçün çalışırıq.
Serverdə StackExchange peyda oldu təlimatlar, istifadəçilər sistemlərini zəifliklər üçün necə sınaqdan keçirə bilərlər və terminal vasitəsilə səhvi əl ilə necə düzəldə bilərlər. Siz həmçinin yazı ilə geniş müzakirə tapa bilərsiniz.
Shellshock-un təsiri nəzəri cəhətdən böyükdür. Unix-i təkcə OS X-də və Linux paylamalarından birinə malik kompüterlərdə deyil, həm də serverlərdə, şəbəkə elementlərində və digər elektronikalarda xeyli sayda tapa bilərsiniz.
Maraqlı məqalə. məlumat üçün təşəkkür edirik
Apple möhürlədiyi zaman kimsə bura yaza bilər? Səhv artıq aradan qaldırılıb..
Android-də təsadüfən Unix nüvəsi yoxdur?
Eynilə iOS kimi.
Bununla belə, bu, unix ləpələrinin deyil, bash-ın problemidir
Düz başlıqda xəta var. Bu səhvdən əziyyət çəkən Unix deyil, bashdır. Unix-ə bash daxil etmək lazım deyil, buna görə də bu Unix-in günahı deyil.
Android Dalvik JVM ilə Linux-dur. Beləliklə, nüvə Linux-dur, o cümlədən Bash kimi kommunal proqramlar.
Amma bu problem bir qədər şişirdilmişdir. Əsasən OS X-ə heç bir təsiri yoxdur, yalnız Apache və s. kimi demonları idarə etmək üçün Bash istifadə edən Linux serverləri üçün ciddidir.
Ancaq hətta bu olduqca qeyri-adidir, məsələn, Debian və Ubuntu-da, Bash server xidmətləri üçün standart olaraq istifadə edilmir, lakin Dash və ona təsir göstərmir.
Müxtəlif marşrutlaşdırıcılarda, Wi-Fi AP-lərdə və s.-də bu, açıq-aydın mümkün deyil, çünki onlar Linux-un Bash-in uyğun gəlməyəcəyi, əvəzinə Busybox və ya zsh istifadə edərək sökülən versiyasına sahib olurlar.
Ona görə də düşünürəm ki, bu, bir az media köpüyüdür.
Dalvik JVM deyil.
"Kernel Linux-dur, o cümlədən kommunal proqramlardır" mənası yoxdur.
Android adətən bash və ya digər ümumi GNU yardım proqramlarını daxil etmir.
Ən əsası(!): Problem Apache və ya başqa bir serverin bash tərəfindən işə salınmasında deyil, bash-ın özünün işləməsindədir.
Zsh ilə çox məşğul olmayın, daha çox interaktiv şəkildə istifadə olunur.
Bu baloncuk deyil.
Amma əks halda çox haqlısınız.
Yeniləmə çıxdı