dbpedia-owl:abstract
|
- Shellshock (známý též jako Bashdoor) je bezpečnostní chyba v široce využívaném Unixovém Bash shellu. První takováto chyba byla zveřejněna 24. září 2014. Bash užívá pro zpracování určitých příkazů mnoho internetových démonů, zejména ty, které jsou součástí webových serverů. To umožňuje útočníkům napadnout zranitelnou verzi shellu Bash a přimět ji vykonávat libovolné příkazy, čímž získají neautorizovaný přístup do počítačového systému.Stéphane Chazelas objevil původní chybu 12. září 2014 a navrhl pro ni jméno „Bashdoor“. Chybě byl přiřazen CVE identifikátor CVE-2014-6271. Následná analýza historie zdrojového kódu Bashe ukázala, že tato zranitelnost byla součástí Bashe přibližně od roku 1992.Základní chyba způsobí, že Bash neúmyslně vykoná určité příkazy, v případě, že jsou tyto příkazy připojeny na konci definice funkce, která je uložena v hodnotách proměnných prostředí. V době publikování této chyby bylo prováděno podrobné zkoumání základního designu, které ukázalo různé závislé slabiny (CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, a CVE-2014-7187), které správce Chet Ramey vyřešil sérií dalších oprav.V následujících hodinách po zveřejnění chyby prováděli útočníci DDOS útoky a skenování slabin prostřednictvím botnetů, které umísťovali na napadené počítače. V dalších dnech byly bezpečnostními firmami zaznamenány milióny útoků a sond souvisejících s chybou. Chyba může být potenciálně využita k napadení miliónů serverů a jiných systémů. Co se týče závažnosti, byla přirovnávána k chybě Heartbleed.Apple uvedl, že pokud uživatelé nenakonfigurují pokročilé unixové služby, jsou v továrním nastavení OS X v bezpečí. Uživatelé, kteří jsou schopni si tyto služby přenastavit, jsou také schopni je dočasně vypnout, dokud nebude implementována oprava využívající Xcode. Přesto, že Apple zaznamenal slabiny ještě předtím, než se informace dostaly na veřejnost, nevydal žádnou aktualizaci pro OS X až do 29. září.
|