Михал Жданский Ошол эле аталыштагы Linux дистрибутивин иштеп чыгуучу Red Hat компаниясынын коопсуздук тобу Linux жана OS X системаларынын негизин түзгөн UNIX системасындагы олуттуу кемчиликти табышты. Процессордогу олуттуу кемчилик Баш теориялык жактан алганда, ал чабуулчуга бузулган компьютерди толук башкарууга мүмкүндүк берет. Бул жаңы ката эмес, тескерисинче, UNIX системаларында жыйырма жылдан бери бар.
Bash – бул буйрук сабына киргизилген буйруктарды аткарган кабык процессору, OS Xдеги негизги Терминал интерфейси жана анын Linuxтагы эквиваленти. Буйруктарды колдонуучу кол менен киргизсе болот, бирок кээ бир колдонмолор процессорду да колдоно алышат. Чабуул түздөн-түз bashга эмес, аны колдонгон бардык тиркемелерге багытталышы керек. Коопсуздук адистеринин айтымында, Shellshock деп аталган бул мүчүлүштүктөргө караганда коркунучтуу Heartbleed китепканасынын SSL катасы, бул интернеттин көп бөлүгүнө таасирин тийгизди.
Apple айтымында, демейки система орнотууларын колдонгон колдонуучулар коопсуз болушу керек. Компания сервер үчүн комментарий берди iMore төмөнкүдөй:
OS X колдонуучуларынын көп бөлүгү жакында табылган bash аялуулугунан улам коркунучта эмес. Bash, Unix командалык процессорунда жана OS Xге кирген тилде ката бар, ал уруксатсыз колдонуучуларга аялуу системаны алыстан башкаруу мүмкүнчүлүгүн алууга мүмкүндүк берет. OS X тутумдары демейки боюнча коопсуз жана колдонуучу өркүндөтүлгөн Unix кызматтарын конфигурациялабаса, bash мүчүлүштүктөрүн алыстан колдонууга алсыз болбойт. Биз Unixтин алдыңкы колдонуучулары үчүн мүмкүн болушунча тез арада программалык камсыздоону жаңыртуу үчүн иштеп жатабыз.
Серверде StackExchange ал пайда болду көрсөтмөлөр, колдонуучулар өз тутумунун кемчиликтерин кантип текшере алышат жана катаны терминал аркылуу кантип кол менен оңдоо керек. Сиз ошондой эле билдирүү менен кенен талкуу таба аласыз.
Shellshock таасири теориялык жактан абдан чоң. Сиз Unixти OS X жана Linux дистрибуцияларынын бири бар компьютерлерде гана эмес, серверлерде, тармак элементтеринде жана башка электроникаларда да таба аласыз.
Кызыктуу макала. Маалымат үчүн рахмат
Apple мөөр басканда, кимдир бирөө бул жерге жаза алабы? Ката мурунтан эле оңдолгон..
Кокус Android'де Unix ядросу жокпу?
iOS сыяктуу.
Бирок, бул unix ядролорунун көйгөйү эмес, бирок bash
Аталышында ката. Катадан жапа чеккен Unix эмес, бул bash. Unixке bash камтылбайт, андыктан бул Unixтин күнөөсү эмес.
Android Dalvik JVM менен Linux болуп саналат. Ошентип, ядро Linux, анын ичинде Bash сыяктуу утилиталар.
Бирок бул маселе бир аз көбөйүп кеткен. Бул негизинен OS Xге эч кандай таасир этпейт, бул Apache сыяктуу демондорду иштетүү үчүн Bash колдонгон Linux серверлери үчүн гана олуттуу.
Бирок бул деле адаттан тыш көрүнүш, мисалы, Debian жана Ubuntu боюнча, Bash демейки боюнча сервердик кызматтар үчүн колдонулбайт, бирок Dash жана ага таасир этпейт.
Ар кандай роутерлерде, Wi-Fi AP'лерде, ж.б., бул ачык эле күмөн, анткени аларда Linuxтун өчүрүлгөн версиясы бар, ал жерде Bash туура келбейт, анын ордуна Busybox же zsh ж.б.
Ошондуктан бул бир аз медиа көбүк деп ойлойм.
Dalvik JVM эмес.
"Ядро бул Linux, анын ичинде утилиталар" дегендин мааниси жок.
Android адатта bash же башка жалпы GNU утилиталарын камтыбайт.
Эң негизгиси(!): Көйгөй Apache же башка сервер bash тарабынан башталганында эмес, бирок bash өзү иштеп жатканында.
Zsh менен өтө эле аралашпаңыз, ал интерактивдүү түрдө колдонулушу мүмкүн.
Бул көбүк эмес.
Бирок башка учурда сиз абдан туура.
Жаңыртуу чыкты