16 780
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 780
/ContentUploads/A576/every_mac_is_vulnerable_shellshock_bash_exploit_heres_patch_os_x.jpg
Kattints ide  ➜

Az Apple is nyilatkozott a sebezhetőséggel kapcsolatban

Makay József2014.09.29. 12.44
A múlthét folyamán kiderült, hogy a Linux- és Unix-alapú operációs rendszerek – ide sorolva az Apple OS X-et is – egy nagyon komoly sérülékenységet tartalmaznak, amivel akár távolról is támadhatóvá és irányíthatóvá válnak az azokat futtató számítógépek, szerverek és esetenként routerek, valamint egyéb beágyazott eszközök. A javítás gyorsan megérkezett, de hamar kiderült, hogy a probléma összetettebb, mint elsőre gondolták.

Az Apple hozzáállása



A cég nyilatkozata szerint az OS X felhasználók biztonságban vannak, amennyiben nem használnak komolyabb Unix szolgáltatásokat. Ha csak mezei felhasználóként használják a számítógépet, nincs komolyabb félnivalójuk. Persze ez a kijelentés nem igaz, ha az adott felhasználó web és/vagy DHCP szervert futtat számítógépén.


Az említett rendszerek által használt Bash parancsértelmezőben van egy függvénydefiníciós lehetőség, ami az elmúlt napok tapasztalata szerint nem igazán lett felkészítve a rosszindulatú használatra. Mindenesetre a lényeg, hogy a sebezhetőség felfedezése óta már nem egy javítás látott napvilágot, amiknek eredményességét most illik ellenőrizni a Red Hat által kiadott ellenőrzőkódokkal. Nyissunk egy terminálemulátort (Konsole, Gnome Terminal, xterm, stb.) és adjuk ki a következő, a korábbiakhoz hasonló, de azoktól lényegesen eltérő parancsot!

env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"


Ha a parancs hatására a következő kimenet jelenik meg, az általad használt operációs rendszer még teljes egészében tartalmazza a sérülékenységet.

vulnerable
bash: BASH_FUNC_x(): line 0: syntax error near unexpected token `)'
bash: BASH_FUNC_x(): line 0: `BASH_FUNC_x() () { :;}; echo vulnerable'
bash: error importing function definition for `BASH_FUNC_x'
test


Ha nem a fentit, hanem a következő kimenetet kapod, a Bash verziód bár javított, az még mindig támadható.

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
bash: error importing function definition for `BASH_FUNC_x()'
test


A következő kimenet esetén viszont (egyelőre) megnyugodhatsz, a parancsértelmeződ minden szükséges javítást megkapott az elmúlt napokban.

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `BASH_FUNC_x'
test



A móka viszont folytatódik



Van még egy frissen felfedezett sérülékenység, amit érdemes ellenőrizni a következő paranccsal.

cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo


Ha a következő kimenetet kapod és az utolsó sorban ott figyel a pontos dátum, a rendszered még érintett a 7169-es kódszámmal ellátott sebezhetőségben.

bash: x: line 1: syntax error near unexpected token `='
bash: x: line 1: `'
bash: error importing function definition for `x'
Fri Sep 26 11:49:58 GMT 2014


Amit Te szeretnél látni, az a következő.

date
cat: /tmp/echo: No such file or directory



Nem győzzük eleget hangsúlyozni



Figyeljetek oda az automatikus frissítések engedélyezésére vagy legalább naponta adjatok ki egy manuális rendszerfrissítést az érintett operációs rendszereken, ez a hozzáállás kulcsfontosságú a Linux/Unix világban.

Fotó: wonderhowto.com
Forrás: ZDNet
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Gigantic ‑ Ingyenes nyílt bétával kezd az Overwatch új kihívója
Ingyenes nCore regisztráció ‑ Újabb csalók próbálkoznak
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
LEAGOO M8 ‑ Elindult az egyik legolcsóbb okostelefon előrendelési időszaka
A Nokia nagy visszatérése
A nem eredeti Apple‑töltők 99 százaléka veszélyes
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Állásajánlatok
Rendszerszervező
Folyamatmérnök
Kiadványszerkesztő
Projekt értékesítő mérnök
Product Manager
Gyártástervező
BI üzleti elemző