Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/N4835/bash_screenshot.jpg

Nem sikerült orvosolni az OS X és a Linux rendszerek sebezhetőségét

2014.09.28. 12.02
Még csütörtökön közöltük a hírt, miszerint a Linux- és Unix-alapú (Apple OS X) operációs rendszerekben használt Bash parancsértelmező egy rendkívül komoly, eddig felfedezetlen hibát tartalmaz már hosszú évek óta. A Linux-alapú operációs rendszerek (Ubuntu, Fedora, Red Hat, stb.) szinte azonnal megkapták a javított verziót, viszont azóta kiderült, hogy nem az volt az egyetlen hiba a közismert szoftverben.

A probléma még mindig az érintett függvénydefiníciós lehetőséggel van, ugyanis a korábbi példakódot át lehet alakítani, hogy olyan dolgot tegyen, amit amúgy nem szabadna. A Google egyik IT biztonsági mérnöke, Tavis Ormandy Twitteren osztott meg egy erre vonatkozó példakódot, ami nagyon hasonlít az előzőre és a csütörtöki sebezhetőségben már nem szenvedő Bash parancsértelmezőben is fut.

A cikk írása közben már meg is érkezett a frissítés a Kubuntu 14.04-re (és valószínűleg az összes népszerűbb Linux-disztribúcióra), ami már az Ormandy által bemutatott kódot is elkaszálja. Ugyanakkor számos fejlesztő – köztük az eredeti hibát felfedező Red Hat mérnökei – állítása szerint még van néhány kapcsolódó hiba a szoftverben, szóval az elkövetkezendő hetekben különösen figyeljünk oda rendszerünk naprakészen tartására frissítések szempontjából.


Megjegyzés



Többen kérdezték, hogy a különböző routereket és az Androidot futtató telefonokat mennyire érinti a probléma – hiszen ezek is Linuxot futtatnak. A sebezhetőség azon készülékeknél jelentkezik, amiknek operációs rendszere parancshéjként a Bash-t használja. Az említett készülékek többsége viszont az Ash parancsértelmezőt alkalmazza éppen csak elegendő tudása miatt, erőforrásokat spórolva ezzel a szoftverek számára. A sebezhetőség komolyságát viszont sokan alábecsülik, nem ismerve az általa nyújtotta lehetőségeket. Példának okáért láttam olyan HTTP kérést, ami ráveheti a sérülékeny szervert a kérésben specifikált kód lefuttatására.

10 éves az Androbit technológiai és tudományos magazin
Hamarosan beköszönt a POLED kijelzők korszaka
Kiszivárgott a Sharp iPhone‑verő okostelefonja
A Fidget Spinner már a telefonokat is meghódította
Felkapott témák
Kiszivárgott a Sharp iPhone-verő okostelefonja
Kaspersky Free – Ingyenes antivírus
Hamarosan beköszönt a POLED kijelzők korszaka
Nem tűnik el a Microsoft Paint
OTP- és Telekom-adatok lopásában érintett egy egyetem, egy könyvesbolt és egy gázszerelő vállalkozás
A magfúzióra eresztette mesterséges intelligenciáját a Google
Állásajánlatok
WMPS Algoritmus fejlesztő rendszer mérnök
Grafikai támogató munkatárs
Dutch Speaking Service Desk Analyst - Level 1 Budapest
Java fejlesztő
Technical Service Engineer
Olasz nyelvű minőségügyi munkatárs
Product Component Owner