18 988
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/A576/every_mac_is_vulnerable_shellshock_bash_exploit_heres_patch_os_x.jpg
Kattints ide  ➜

Az Apple is nyilatkozott a sebezhetőséggel kapcsolatban

Makay József2014.09.29. 12.44
A múlthét folyamán kiderült, hogy a Linux- és Unix-alapú operációs rendszerek – ide sorolva az Apple OS X-et is – egy nagyon komoly sérülékenységet tartalmaznak, amivel akár távolról is támadhatóvá és irányíthatóvá válnak az azokat futtató számítógépek, szerverek és esetenként routerek, valamint egyéb beágyazott eszközök. A javítás gyorsan megérkezett, de hamar kiderült, hogy a probléma összetettebb, mint elsőre gondolták.

Az Apple hozzáállása



A cég nyilatkozata szerint az OS X felhasználók biztonságban vannak, amennyiben nem használnak komolyabb Unix szolgáltatásokat. Ha csak mezei felhasználóként használják a számítógépet, nincs komolyabb félnivalójuk. Persze ez a kijelentés nem igaz, ha az adott felhasználó web és/vagy DHCP szervert futtat számítógépén.


Az említett rendszerek által használt Bash parancsértelmezőben van egy függvénydefiníciós lehetőség, ami az elmúlt napok tapasztalata szerint nem igazán lett felkészítve a rosszindulatú használatra. Mindenesetre a lényeg, hogy a sebezhetőség felfedezése óta már nem egy javítás látott napvilágot, amiknek eredményességét most illik ellenőrizni a Red Hat által kiadott ellenőrzőkódokkal. Nyissunk egy terminálemulátort (Konsole, Gnome Terminal, xterm, stb.) és adjuk ki a következő, a korábbiakhoz hasonló, de azoktól lényegesen eltérő parancsot!

env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"


Ha a parancs hatására a következő kimenet jelenik meg, az általad használt operációs rendszer még teljes egészében tartalmazza a sérülékenységet.

vulnerable
bash: BASH_FUNC_x(): line 0: syntax error near unexpected token `)'
bash: BASH_FUNC_x(): line 0: `BASH_FUNC_x() () { :;}; echo vulnerable'
bash: error importing function definition for `BASH_FUNC_x'
test


Ha nem a fentit, hanem a következő kimenetet kapod, a Bash verziód bár javított, az még mindig támadható.

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
bash: error importing function definition for `BASH_FUNC_x()'
test


A következő kimenet esetén viszont (egyelőre) megnyugodhatsz, a parancsértelmeződ minden szükséges javítást megkapott az elmúlt napokban.

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `BASH_FUNC_x'
test



A móka viszont folytatódik



Van még egy frissen felfedezett sérülékenység, amit érdemes ellenőrizni a következő paranccsal.

cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo


Ha a következő kimenetet kapod és az utolsó sorban ott figyel a pontos dátum, a rendszered még érintett a 7169-es kódszámmal ellátott sebezhetőségben.

bash: x: line 1: syntax error near unexpected token `='
bash: x: line 1: `'
bash: error importing function definition for `x'
Fri Sep 26 11:49:58 GMT 2014


Amit Te szeretnél látni, az a következő.

date
cat: /tmp/echo: No such file or directory



Nem győzzük eleget hangsúlyozni



Figyeljetek oda az automatikus frissítések engedélyezésére vagy legalább naponta adjatok ki egy manuális rendszerfrissítést az érintett operációs rendszereken, ez a hozzáállás kulcsfontosságú a Linux/Unix világban.

Fotó: wonderhowto.com
Forrás: ZDNet
Kattints ide  ➜

A hozzászólások átalakításán dolgozik a Facebook
Tilix – Frissítették a Terminix parancssort
LIFE – Itt az Alien: Covenant kihívója
Adaptív ikonok jönnek az Android 8.0 Oreóba
Felelősségre vonnák a hanyag szoftverfejlesztőket Németországban
Osszad meg, és adunk egy iPhone‑t!
Felkapott témák
Elképesztően drága az Apple iPhone 7+ Retro
Osszad meg, és adunk egy iPhone-t!
Megérkezett és letölthető az Android 8.0
Mintha a Google kicsit túltolná a megfigyelést
Ez volt 2016 legnépszerűbb okostelefonja
iPhone-on sem elképzelhetetlen a „gyárilag telepített” kémszoftver
Állásajánlatok
Java fejlesztő mérnök Ref: JDE_0317_PSE_Bp
Consultant Commercial cloud
Dynamics AX support munkatárs
CRM Marketing Manager
Marketing Content Creation Specialist Copywriter - VOC0002G8
Automatizálási mérnök
Developer - Telekom IT TSI Budapest