მიხალ ჟდანსკი Red Hat-ის უსაფრთხოების ჯგუფმა, რომელიც ავითარებს Linux-ის ამავე სახელწოდების დისტრიბუციას, აღმოაჩინა კრიტიკული ხარვეზი UNIX-ში, სისტემაში, რომელიც საფუძვლად უდევს როგორც Linux-ს, ასევე OS X-ს. კრიტიკული ხარვეზი პროცესორში. Bash თეორიულად, ის საშუალებას აძლევს თავდამსხმელს, აიღოს სრული კონტროლი კომპრომეტირებული კომპიუტერზე. ეს არ არის ახალი შეცდომა, პირიქით, UNIX სისტემებში ოცი წელია არსებობს.
Bash არის ჭურვის პროცესორი, რომელიც ახორციელებს ბრძანებების სტრიქონში შეყვანილ ბრძანებებს, OS X-ის ძირითადი ტერმინალის ინტერფეისს და მის ექვივალენტს Linux-ში. მომხმარებლის მიერ ბრძანებების შეყვანა შესაძლებელია ხელით, მაგრამ ზოგიერთ აპლიკაციას შეუძლია გამოიყენოს პროცესორიც. შეტევა არ უნდა იყოს მიმართული უშუალოდ bash-ზე, არამედ ნებისმიერ აპლიკაციაზე, რომელიც იყენებს მას. უსაფრთხოების ექსპერტების აზრით, ეს შეცდომა სახელად Shellshock უფრო საშიშია, ვიდრე Heartbleed ბიბლიოთეკის SSL შეცდომა, რამაც იმოქმედა ინტერნეტის დიდ ნაწილზე.
Apple-ის თქმით, მომხმარებლები, რომლებიც იყენებენ სისტემის ნაგულისხმევ პარამეტრებს, უსაფრთხო უნდა იყვნენ. კომპანიამ კომენტარი გააკეთა სერვერზე მე უფრო შემდეგნაირად:
OS X მომხმარებელთა დიდ ნაწილს არ ემუქრება ახლახან აღმოჩენილი bash დაუცველობა. არსებობს ხარვეზი bash-ში, Unix-ის ბრძანების პროცესორი და ენა, რომელიც შედის OS X-ში, რაც საშუალებას აძლევს არაავტორიზებულ მომხმარებლებს მიიღონ წვდომა მოწყვლადი სისტემის დისტანციურად მართვისთვის. OS X სისტემები ნაგულისხმევად უსაფრთხოა და არ არის დაუცველი bash-ის დისტანციური ექსპლოიტების მიმართ, თუ მომხმარებელს არ აქვს კონფიგურირებული Unix-ის გაფართოებული სერვისები. ჩვენ ვმუშაობთ, რომ რაც შეიძლება მალე მივაწოდოთ პროგრამული უზრუნველყოფის განახლება ჩვენი მოწინავე Unix მომხმარებლებისთვის.
სერვერზე StackExchange ის გამოჩნდა ინსტრუქციები, როგორ შეუძლიათ მომხმარებლებს შეამოწმონ თავიანთი სისტემა დაუცველობაზე და როგორ გაასწორონ ხარვეზი ხელით ტერმინალის მეშვეობით. თქვენ ასევე ნახავთ ვრცელ დისკუსიას პოსტთან ერთად.
Shellshock-ის გავლენა თეორიულად უზარმაზარია. თქვენ შეგიძლიათ იპოვოთ Unix არა მხოლოდ OS X-ში და კომპიუტერებში Linux-ის ერთ-ერთი დისტრიბუციით, არამედ საკმაოდ დიდი რაოდენობით სერვერებზე, ქსელის ელემენტებზე და სხვა ელექტრონიკაზე.
საინტერესო სტატია. Მადლობა ინფორმაციისთვის
ვინმეს შეუძლია დაწეროს აქ, როდესაც Apple-მა დალუქა? შეცდომა უკვე გამოსწორებულია..
ანდროიდს არ აქვს უნიქსის ბირთვი შემთხვევით?
ისევე, როგორც iOS.
თუმცა, ეს არ არის unix ბირთვების, არამედ bash-ის პრობლემა
შეცდომა სათაურში. ეს არ არის Unix, რომელიც განიცდის შეცდომას, ეს არის bash. Unix არ უნდა შეიცავდეს bash-ს, ამიტომ ეს Unix-ის ბრალი არ არის.
Android არის Linux Dalvik JVM-ით. ასე რომ, ბირთვი არის Linux, მათ შორის კომუნალური პროგრამები, როგორიცაა Bash.
მაგრამ ეს პრობლემა გარკვეულწილად გაბერილია. მას ძირითადად არანაირი გავლენა არ აქვს OS X-ზე, ის მხოლოდ სერიოზულია Linux სერვერებისთვის, რომლებიც იყენებენ Bash-ს დემონების გასაშვებად, როგორიცაა Apache და ა.შ.
მაგრამ ესეც საკმაოდ უჩვეულოა, მაგალითად Debian-სა და Ubuntu-ზე, Bash არ გამოიყენება ნაგულისხმევად სერვერის სერვისებისთვის, არამედ Dash და მასზე გავლენას არ ახდენს.
სხვადასხვა მარშრუტიზატორებზე, WiFI AP-ებზე და ა.შ. ეს აშკარად ნაკლებად სავარაუდოა, რადგან მათ აქვთ Linux-ის გაშიშვლებული ვერსია, სადაც Bash არ ჯდება, ნაცვლად Busybox-ის ან zsh-ის გამოყენებით და ა.შ.
ასე რომ, მე ვფიქრობ, რომ ეს ცოტა მედია ბუშტია.
დალვიკი არ არის JVM.
„კერნელი არის Linux, კომუნალური პროგრამების ჩათვლით“ აზრი არ აქვს.
Android ჩვეულებრივ არ შეიცავს bash-ს ან სხვა ჩვეულებრივ GNU-ს.
რაც მთავარია(!): პრობლემა ის კი არ არის, თუ Apache ან სხვა სერვერი იწყება bash-ით, არამედ თუ თავად bash მუშაობს.
ძალიან ნუ ჩაერთვები Zsh-ში, უფრო სავარაუდოა, რომ ის ინტერაქტიულად გამოიყენებს.
ეს არ არის ბუშტი.
მაგრამ სხვაგვარად მართალი ხარ.
განახლება გამოვიდა