Michal Ždanský Ang security team sa Red Hat, na bumuo ng Linux distribution ng parehong pangalan, ay nakatuklas ng isang kritikal na depekto sa UNIX, ang system na sumasailalim sa parehong Linux at OS X. Isang kritikal na depekto sa processor malakas na palo sa teorya, pinapayagan nito ang umaatake na ganap na kontrolin ang nakompromisong computer. Ito ay hindi isang bagong bug, sa kabaligtaran, ito ay umiral sa mga sistema ng UNIX sa loob ng dalawampung taon.
Ang Bash ay isang shell processor na nagpapatupad ng mga command na ipinasok sa command line, ang pangunahing Terminal interface sa OS X at ang katumbas nito sa Linux. Ang mga utos ay maaaring ipasok nang manu-mano ng gumagamit, ngunit ang ilang mga application ay maaari ding gumamit ng processor. Ang pag-atake ay hindi kailangang direktang nakatuon sa bash, ngunit sa anumang application na gumagamit nito. Ayon sa mga eksperto sa seguridad, ang bug na ito na pinangalanang Shellshock ay mas mapanganib kaysa sa Heartbleed library SSL error, na nakaapekto sa karamihan ng internet.
Ayon sa Apple, ang mga gumagamit na gumagamit ng mga default na setting ng system ay dapat na ligtas. Nagkomento ang kumpanya para sa server iMore tulad ng sumusunod:
Ang isang malaking bahagi ng mga gumagamit ng OS X ay hindi nasa panganib mula sa kamakailang natuklasang kahinaan ng bash. Mayroong isang bug sa bash, ang Unix command processor at wika na kasama sa OS X, na maaaring magpapahintulot sa mga hindi awtorisadong gumagamit na makakuha ng access sa malayuang kontrolin ang isang mahinang sistema. Ang mga OS X system ay ligtas bilang default at hindi madaling kapitan ng mga malalayong pagsasamantala ng bash bug maliban kung na-configure ng user ang mga advanced na serbisyo ng Unix. Nagsusumikap kaming magbigay ng update ng software para sa aming mga advanced na user ng Unix sa lalong madaling panahon.
Sa server StackExchange dumating siya mga tagubilin, kung paano masusubok ng mga user ang kanilang system para sa mga kahinaan, at kung paano manu-manong ayusin ang bug sa pamamagitan ng terminal. Makakakita ka rin ng malawak na talakayan sa post.
Ang epekto ng Shellshock ay theoretically malaki. Mahahanap mo ang Unix hindi lamang sa OS X at sa mga computer na may isa sa mga distribusyon ng Linux, kundi pati na rin sa isang malaking bilang sa mga server, mga elemento ng network at iba pang electronics.
Kawili-wiling artikulo. Salamat sa impormasyon
Maaari bang may sumulat dito noong tinatakan ito ng Apple? Naayos na ang error..
Wala bang Unix kernel ang Android kapag nagkataon?
Parang iOS lang.
Gayunpaman, hindi ito problema ng mga unix kernel, ngunit ng bash
Error mismo sa pamagat. Hindi Unix ang naghihirap mula sa bug, ito ay bash. Hindi kailangang isama ng Unix ang bash, kaya hindi ito kasalanan ng Unix.
Ang Android ay Linux na may Dalvik JVM. Kaya ang kernel ay Linux, kasama ang mga utility tulad ng Bash.
Ngunit ang problemang iyon ay medyo lumaki. Ito ay karaniwang walang epekto sa OS X, ito ay seryoso lamang para sa mga server ng Linux na gumagamit ng Bash upang magpatakbo ng mga daemon tulad ng Apache, atbp.
Ngunit kahit na ito ay medyo hindi pangkaraniwan, halimbawa sa Debian at Ubuntu, ang Bash ay hindi ginagamit bilang default para sa mga serbisyo ng server, ngunit ang Dash, at hindi ito apektado.
Sa iba't ibang mga router, WiFI AP, atbp, ito ay tahasang hindi malamang, dahil sila ay may posibilidad na magkaroon ng isang stripped na bersyon ng Linux kung saan ang Bash ay hindi magkasya, gamit ang Busybox o zsh sa halip, atbp...
Kaya sa tingin ko ito ay isang bit ng media bubble.
Si Dalvik ay hindi isang JVM.
Ang "Kernel ay Linux kasama ang mga utility" ay hindi makatuwiran.
Karaniwang hindi kasama sa Android ang bash, o iba pang karaniwang mga utility ng GNU.
Ang pinakamahalagang bagay(!): Ang problema ay hindi kung ang Apache o isa pang server ay sinimulan ng bash, ngunit kung ang bash mismo ay tumatakbo.
Huwag masyadong makisali kay Zsh, mas malamang na magamit ito nang interactive.
Hindi ito bula.
Ngunit kung hindi, tama ka.
Lumabas na ang update