Михал Жданский Бір аттас Linux дистрибутивін әзірлейтін Red Hat қауіпсіздік тобы Linux және OS X жүйелерінің негізі болып табылатын UNIX жүйесінде маңызды кемшілікті анықтады. Процессордағы маңызды ақау bash теориялық тұрғыдан алғанда, ол шабуылдаушыға бұзылған компьютерді толық басқаруға мүмкіндік береді. Бұл жаңа қате емес, керісінше UNIX жүйелерінде жиырма жылдан бері бар.
Bash - пәрмен жолында енгізілген пәрмендерді орындайтын қабық процессоры, OS X жүйесіндегі негізгі Терминал интерфейсі және оның Linux жүйесіндегі баламасы. Пәрмендерді пайдаланушы қолмен енгізе алады, бірақ кейбір қолданбалар процессорды да пайдалана алады. Шабуыл тікелей bash-қа емес, оны пайдаланатын кез келген қолданбаға бағытталған болуы керек. Қауіпсіздік мамандарының айтуынша, Shellshock деп аталатын бұл қатеге қарағанда қауіптірек Heartbleed кітапханасының SSL қатесі, бұл интернеттің көп бөлігіне әсер етті.
Apple компаниясының пікірінше, әдепкі жүйе параметрлерін пайдаланатын пайдаланушылар қауіпсіз болуы керек. Компания серверге түсініктеме берді iMore келесідей:
OS X пайдаланушыларының үлкен бөлігі жақында табылған bash осалдығынан қауіп төндірмейді. Bash жүйесінде, Unix пәрмендік процессорында және OS X жүйесіне енгізілген тілде қате бар, ол рұқсатсыз пайдаланушыларға осал жүйені қашықтан басқаруға қол жеткізуге мүмкіндік береді. OS X жүйелері әдепкі бойынша қауіпсіз және пайдаланушы кеңейтілген Unix қызметтерін конфигурацияламаса, bash қатесінің қашықтағы эксплуатацияларына осал емес. Біз Unix озық пайдаланушылары үшін мүмкіндігінше тезірек бағдарламалық құрал жаңартуын қамтамасыз ету үшін жұмыс істеп жатырмыз.
Серверде StackExchange ол пайда болды Навод, пайдаланушылар өз жүйесін осалдықтарға қалай тексере алады және қатені терминал арқылы қолмен қалай түзетеді. Сіз сондай-ақ постпен кең ауқымды пікірталас таба аласыз.
Shellshock әсері теориялық тұрғыдан өте үлкен. Unix-ті тек OS X жүйесінде және Linux дистрибутивтерінің бірімен компьютерлерде ғана емес, сонымен қатар серверлерде, желі элементтерінен және басқа электроникада айтарлықтай мөлшерде табуға болады.
Қызықты мақала. Ақпарат үшін рахмет
Apple оны мөрлеген кезде біреу осында жаза алады ма? Қате әлдеқашан түзетілді..
Кез келген жағдайда Android жүйесінде Unix ядросы жоқ па?
Дәл iOS сияқты.
Дегенмен, бұл unix ядроларының мәселесі емес, bash мәселесі
Тақырыпта қате. Қатеден зардап шегетін Unix емес, бұл bash. Unix-ке bash қосудың қажеті жоқ, сондықтан бұл Unix-тің кінәсі емес.
Android – Dalvik JVM жүйесі бар Linux. Сонымен, ядро Linux, соның ішінде Bash сияқты утилиталар.
Бірақ бұл мәселе біршама көтерілген. Ол негізінен OS X жүйесіне әсер етпейді, ол тек Apache сияқты демондарды іске қосу үшін Bash қолданатын Linux серверлері үшін маңызды.
Бірақ бұл өте ерекше, мысалы, Debian және Ubuntu-да, Bash серверлік қызметтер үшін әдепкі бойынша пайдаланылмайды, бірақ Dash және оған әсер етпейді.
Түрлі маршрутизаторларда, Wi-Fi AP құрылғыларында және т.б. бұл екіталай, өйткені оларда Linux-тың жойылған нұсқасы болуы мүмкін, онда Bash сәйкес келмейтін, орнына Busybox немесе zsh пайдаланылады, т.б.
Сондықтан бұл медиа көпіршігі деп ойлаймын.
Dalvik JVM емес.
«Ядро - бұл Linux, соның ішінде утилиталар» мағынасы жоқ.
Android әдетте bash немесе басқа жалпы GNU утилиталарын қамтымайды.
Ең бастысы(!): Мәселе Apache немесе басқа сервер bash арқылы іске қосылғанында емес, bash өзі іске қосылғанында.
Zsh-ге тым араласпаңыз, оны интерактивті түрде пайдалану ықтималдығы жоғары.
Бұл көпіршік емес.
Бірақ әйтпесе сіз өте дұрыссыз.
Жаңарту шықты