Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga
/ContentUploads/N4835/bash_screenshot.jpg

Nem sikerült orvosolni az OS X és a Linux rendszerek sebezhetőségét

2014.09.28. 12.02
Még csütörtökön közöltük a hírt, miszerint a Linux- és Unix-alapú (Apple OS X) operációs rendszerekben használt Bash parancsértelmező egy rendkívül komoly, eddig felfedezetlen hibát tartalmaz már hosszú évek óta. A Linux-alapú operációs rendszerek (Ubuntu, Fedora, Red Hat, stb.) szinte azonnal megkapták a javított verziót, viszont azóta kiderült, hogy nem az volt az egyetlen hiba a közismert szoftverben.

A probléma még mindig az érintett függvénydefiníciós lehetőséggel van, ugyanis a korábbi példakódot át lehet alakítani, hogy olyan dolgot tegyen, amit amúgy nem szabadna. A Google egyik IT biztonsági mérnöke, Tavis Ormandy Twitteren osztott meg egy erre vonatkozó példakódot, ami nagyon hasonlít az előzőre és a csütörtöki sebezhetőségben már nem szenvedő Bash parancsértelmezőben is fut.

A cikk írása közben már meg is érkezett a frissítés a Kubuntu 14.04-re (és valószínűleg az összes népszerűbb Linux-disztribúcióra), ami már az Ormandy által bemutatott kódot is elkaszálja. Ugyanakkor számos fejlesztő – köztük az eredeti hibát felfedező Red Hat mérnökei – állítása szerint még van néhány kapcsolódó hiba a szoftverben, szóval az elkövetkezendő hetekben különösen figyeljünk oda rendszerünk naprakészen tartására frissítések szempontjából.


Megjegyzés



Többen kérdezték, hogy a különböző routereket és az Androidot futtató telefonokat mennyire érinti a probléma – hiszen ezek is Linuxot futtatnak. A sebezhetőség azon készülékeknél jelentkezik, amiknek operációs rendszere parancshéjként a Bash-t használja. Az említett készülékek többsége viszont az Ash parancsértelmezőt alkalmazza éppen csak elegendő tudása miatt, erőforrásokat spórolva ezzel a szoftverek számára. A sebezhetőség komolyságát viszont sokan alábecsülik, nem ismerve az általa nyújtotta lehetőségeket. Példának okáért láttam olyan HTTP kérést, ami ráveheti a sérülékeny szervert a kérésben specifikált kód lefuttatására.