Баг в командной оболочке Bash позволял хакерам годами контролировать компьютеры на Linux и Mac OS

Эксперты по безопасности компании Red Hat обнаружили критическую уязвимость в командной оболочке Bash, популярной среди пользователей Linux и Mac. Об этом сообщает The Verge.

Поделиться

Найденная уязвимость позволяет злоумышленникам запускать любой код на компьютере пользователя, если он подключен к сети, и на нём запущен Bash (к которому ещё нужно получить доступ). Проблеме подвержены все версии командной оболочки, поэтому хакеры предположительно могли пользоваться ей годами.

Баг, который уже успел получить название Shellshock или Bashdoor, был найден ещё в середине сентября, однако информация об этом не была обнародована до тех пор, пока Red Hat не подготовили патчи для его устранения. «Заплатки» появились и для дистрибутивов CentOS и Debian.

Уязвимости также подвержены пользователи OS X. На момент написания заметки для них доступна инструкция на Stack Exchange, которая позволяет обнаружить Shellshock и устранить его.

Эксперт по безопасности компании Errarta Security уже сравнил Shellshock с «дырой» в пакете шифрования данных OpenSSL, получившей название Heartbleed, так как Bash используется на многих серверах, а также взаимодействует с огромным количеством различных программ.

Аналитик Николас Вивер из Беркли, с которым связались The Verge для комментария, также выразил пессимистичный настрой, отметив, что Shellshock «трудноуловимый, уродливый и останется с нами на годы».

Как отмечает Engadget, главную проблему представляет возраст бага: на многих старых устройствах он не будет или попросту не сможет быть устранён.

Последняя столь крупная уязвимость была найдена в начале апреля. Баг Heartbleed стал не только источником громких заголовков в СМИ, но и вынудил многие сервисы устроить полный сброс паролей пользователей.

Поделиться

Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.

3 лучших комментария

В таких историях мне больше всего нравится осознавать, что всего несколько строчек кода (среди сотен тысяч) делают бессмысленными все гигантские меры безопасности.
И масштабы происходящего. Кто-то пропустил эти строчки, не заметил - и миллионы пользователей, считай, выложили свои файлы на всеобщий обзор.

11

В связи с выявленным багом, все шутки на bash.org и bash.im считать заразительными.

10

"Найденная уязвимость позволяет злоумышленникам запускать любой код на компьютере пользователя, если он подключен к сети, и на нём запущен Bash. "

На самом деле нет.

"So far, HTTP requests to CGI scripts have been identified as the major attack vector."
т.е. обычные пользователи как раз не попадают под уязвимость, разве что, косвенно - должен быть поднят как минимум web-сервер, должен быть CGI script, в котором будет вызываться bash..

5
61 комментарий доступен только владельцам аккаунта TJ+
Наверх