Az UNIX rendszerek nagy részét érintő, Bash exploit, ami Shellshock néven lett ismert eddig csak egy közlemény kiadására motiválta Cupertinot, amiben közölték a júzerekkel, hogy az átlag, SSH-t nem használó felhasználó nincs veszélyben. Most, hétfő délelőtt azonbna megjelentek az update-ek az utolsó pár OS X verzióhoz. Érdekes, hogy a Heartbleedhez hasonlóan ez is hosszú ideje észrevétlenül létezett, ám ez még a korábbi hibához képest is régebben, mintegy 25 éve lapított, várva a felfedezést.
A Bash nem más, mint egy shell, azaz parancsértelmező, ami a Unix alapú rendszerek fontos eleme. Ez biztosítja, hogy a felhasználó parancsokat adhasson a gépnek. A Shellshock egy biztonsági rés a Bash shellben, aminek segítségével ha a támadó ügyes, külső kódok juttathatóak be és futtathatóak a rendszerben. Ez azt jelenti, hogy a külső személy akár távolról is irányíthatja a számítógépet, sőt nem csak hozzáférhet adatainkhoz, de módosíthatja, másolhatja és törölheti is őket, illetve programokat is futtathat.
A helyzet az Apple bejelentésével szemben az, hogy potenciálisan mindenki veszélyben lehetett volna, hiszen bár a Terminalt sokan el sem indítják, viszont számos alkalmazás és rendszerszolgáltatás használja a Bash shellt a háttérben. Az OS X Bash Update 1.0 a Software Updateből is elérhető, de itt az Apple Support oldaláról is letöltheted: OS X Maverickshez, OS X Mountain Lionhoz, vagy OS X Lionhoz. Ártani nem árt, viszont az ördög, mint tudjuk sosem alszik (csak, hogy egy közhelyet is elsüssünk itt a végén).
“A Shellshock egy biztonsági rész”
Én meg azt hittem, hogy ez pont a biztonságot játssza ki, nem pedig a biztonsági rendszer része. :)
Egyébként valahol úgy olvastam, hogy a kihasználáshoz az ssh bejelentkezésnek is be kell lennie kapcsolva. Bár gondolnom ez a távolról történő bejelentkezésnek vonatkozott.
Igen. Vagyis nem “egy biztonsági rész’ hanem ennek a sebezhetőségnek ez a neve. Van másik neve is, Bashdoor, szerintem ez jobban kifejezi a hiba természetét. Szerintem amivel keveri, az a Secure Shell (SSH), de az valójában csak egy, az ezen hiba miatt sebezhetővé vált felhasználási mód közül. További Info: http://en.m.wikipedia.org/wiki/Shellshock_(software_bug)
Szóval meg kell mondjam nem szabadna ennyire pongyolán fogalmazni, sőt mi több, ezt az értelemzavaróan hibás cikket javítani kellene.
Nem kevertem, sima elütés volt, biztonsági rés akart lenni, de már javítottam, átolvasásnál. Köszi az észrevételt