18 950
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/N4835/bash_screenshot.jpg
Kattints ide  ➜

Nem sikerült orvosolni az OS X és a Linux rendszerek sebezhetőségét

Makay József2014.09.28. 12.02
Még csütörtökön közöltük a hírt, miszerint a Linux- és Unix-alapú (Apple OS X) operációs rendszerekben használt Bash parancsértelmező egy rendkívül komoly, eddig felfedezetlen hibát tartalmaz már hosszú évek óta. A Linux-alapú operációs rendszerek (Ubuntu, Fedora, Red Hat, stb.) szinte azonnal megkapták a javított verziót, viszont azóta kiderült, hogy nem az volt az egyetlen hiba a közismert szoftverben.

A probléma még mindig az érintett függvénydefiníciós lehetőséggel van, ugyanis a korábbi példakódot át lehet alakítani, hogy olyan dolgot tegyen, amit amúgy nem szabadna. A Google egyik IT biztonsági mérnöke, Tavis Ormandy Twitteren osztott meg egy erre vonatkozó példakódot, ami nagyon hasonlít az előzőre és a csütörtöki sebezhetőségben már nem szenvedő Bash parancsértelmezőben is fut.

A cikk írása közben már meg is érkezett a frissítés a Kubuntu 14.04-re (és valószínűleg az összes népszerűbb Linux-disztribúcióra), ami már az Ormandy által bemutatott kódot is elkaszálja. Ugyanakkor számos fejlesztő – köztük az eredeti hibát felfedező Red Hat mérnökei – állítása szerint még van néhány kapcsolódó hiba a szoftverben, szóval az elkövetkezendő hetekben különösen figyeljünk oda rendszerünk naprakészen tartására frissítések szempontjából.


Megjegyzés



Többen kérdezték, hogy a különböző routereket és az Androidot futtató telefonokat mennyire érinti a probléma – hiszen ezek is Linuxot futtatnak. A sebezhetőség azon készülékeknél jelentkezik, amiknek operációs rendszere parancshéjként a Bash-t használja. Az említett készülékek többsége viszont az Ash parancsértelmezőt alkalmazza éppen csak elegendő tudása miatt, erőforrásokat spórolva ezzel a szoftverek számára. A sebezhetőség komolyságát viszont sokan alábecsülik, nem ismerve az általa nyújtotta lehetőségeket. Példának okáért láttam olyan HTTP kérést, ami ráveheti a sérülékeny szervert a kérésben specifikált kód lefuttatására.
Kattints ide  ➜

8 éves sebezhetőséget javítottak a Linuxban
Transcend SSD220S 240 GB SSD teszt
35 százalékkal csökkenti a JPEG képek méretét a Google új szoftvere
iPhone‑on sem elképzelhetetlen a „gyárilag telepített” kémszoftver
Felkapott témák
Elképesztően drága az Apple iPhone 7+ Retro
Megérkezett és letölthető az Android 8.0
Osszad meg, és adunk egy iPhone-t!
Mintha a Google kicsit túltolná a megfigyelést
Újabb Android 8.0 újdonságok szivárogtak ki
Ez volt 2016 legnépszerűbb okostelefonja
Állásajánlatok
Store Management Trainees
PLC Programozó
Biológiai gyógyszer értékelő
IT ügyeletes
Szoftvertesztelő
Junior Managers Program- Mérnöki terület
Szenior Kommunikációs Manager – angol nyelvű, beszállítói terület