Michal Ždanský Het beveiligingsteam van Red Hat, dat de gelijknamige Linux-distributie ontwikkelt, ontdekte een kritieke fout in UNIX, het systeem dat ten grondslag ligt aan zowel Linux als OS X. Een kritieke fout in de processor slaan In theorie kan de aanvaller de volledige controle over de aangetaste computer overnemen. Dit is geen nieuwe bug, integendeel: deze bestaat al twintig jaar in UNIX-systemen.
Bash is een shell-processor die opdrachten uitvoert die zijn ingevoerd op de opdrachtregel, de standaard Terminal-interface in OS X en het equivalent daarvan in Linux. Commando's kunnen door de gebruiker handmatig worden ingevoerd, maar sommige applicaties kunnen ook gebruik maken van de processor. De aanval hoeft niet direct op bash gericht te zijn, maar op elke applicatie die er gebruik van maakt. Volgens beveiligingsexperts is deze bug genaamd Shellshock gevaarlijker dan Heartbleed-bibliotheek SSL-fout, die een groot deel van het internet beïnvloedde.
Volgens Apple moeten gebruikers die de standaardsysteeminstellingen gebruiken veilig zijn. Het bedrijf heeft gereageerd op de server ik meer als volgt:
Een groot deel van de OS X-gebruikers loopt geen risico door de recent ontdekte bash-kwetsbaarheid. Er zit een bug in bash, de Unix-opdrachtprocessor en -taal in OS X, waardoor ongeautoriseerde gebruikers toegang kunnen krijgen om op afstand een kwetsbaar systeem te besturen. OS X-systemen zijn standaard beveiligd en niet kwetsbaar voor misbruik van de bash-bug op afstand, tenzij de gebruiker geavanceerde Unix-services heeft geconfigureerd. We werken eraan om zo snel mogelijk een software-update voor onze geavanceerde Unix-gebruikers te leveren.
Op de server antwoordde Hij kwam tevoorschijn instructies, hoe gebruikers hun systeem kunnen testen op kwetsbaarheden en hoe ze de bug handmatig kunnen oplossen via de terminal. Bij de post vind je ook een uitgebreide discussie.
De impact van Shellshock is theoretisch enorm. Unix vind je niet alleen in OS X en op computers met een van de Linux-distributies, maar ook in een aanzienlijk aantal op servers, netwerkelementen en andere elektronica.
Interessant artikel. Bedankt voor de info
Kan iemand hier schrijven wanneer Apple het verzegelde? De fout is al opgelost..
Heeft Android toevallig geen Unix-kernel?
Net als iOS.
Dit is echter geen probleem bij unix-kernels, maar bij bash
Foutje rechts in de titel. Het is niet Unix dat last heeft van de bug, het is bash. Unix hoeft geen bash te bevatten, dus het is niet de schuld van Unix.
Android is Linux met Dalvik JVM. De kernel is dus Linux, inclusief hulpprogramma's als Bash.
Maar dat probleem is enigszins opgeblazen. Het heeft in principe geen invloed op OS X, het is alleen ernstig voor Linux-servers die Bash gebruiken om daemons zoals Apache, enz. uit te voeren.
Maar zelfs dit is vrij ongebruikelijk, bijvoorbeeld op Debian en Ubuntu wordt Bash niet standaard gebruikt voor serverservices, maar Dash, en wordt dit niet beïnvloed.
Op verschillende routers, WiFI AP's, enz. is het expliciet onwaarschijnlijk, omdat ze de neiging hebben om een uitgeklede versie van Linux te hebben waar Bash niet past, en in plaats daarvan Busybox of zsh gebruiken, enz...
Dus ik denk dat het een beetje een mediabubbel is.
Dalvik is geen JVM.
"Kernel is Linux inclusief hulpprogramma's" slaat nergens op.
Android bevat meestal geen bash of andere veelgebruikte GNU-hulpprogramma's.
Het allerbelangrijkste(!): Het probleem is niet of Apache of een andere server door bash wordt gestart, maar of bash zelf draait.
Raak niet te betrokken bij Zsh, de kans is groter dat het interactief wordt gebruikt.
Het is geen bubbel.
Maar verder heb je groot gelijk.
De update is uit