Уязвимость в оболочке Bash позволяла хакерам годами контролировать компьютеры на Linux


Уязвимость в оболочке Bash позволяла хакерам годами контролировать компьютеры на Linux


Найдена критическая уязвимость в популярной командной оболочке Bourne again shell, известной просто как Bash и использующейся в большинстве дистрибутивов Linux, сообщает «Лаборатория Касперского». Уязвимость содержится во всех версиях Bash и также затрагивает Mac OS X. Администраторов призывают немедленно установить патчи к их системам.

Уязвимость, успевшая получить названия Shellshock или Bashdoor, позволяет злоумышленнику удаленно записывать вредоносный исполняемый код в переменную, значение которой исполняется при вызове Bash. Как отмечает The Verge, эта уязвимость могла годами позволять хакерам контролировать компьютеры, работающие на Linux.

Ошибка в Bash была обнаружена Стефани Чазелас, администратором Unix- и Linux-сетей и телекоммуникаций в Akamai. Производители популярных дистрибутивов Linux, включая Red Hat, начали выпускать патчи, сразу после того, как узнали об открытии Чазелас, из ее поста в рассылке OSS.

«Многие функции вызывают Bash и я бы поставил на то, что в большинстве систем есть то, что вызывает Bash, и вы даже не знаете, что оно это делает, — заявил Джош Брессерс, менеджер по безопасности Red Hat. — Мы проанализировали все те различные продукты, которые поставляет Red Hat, и которые, по нашему мнению, подвержены наибольшему риску. Это одна из тех ситуаций, когда имеется бесчисленное множество вариантов, с которыми вам нужно разобраться. К примеру, уязвимость Heartbleed было легко понять, и точно так же ей было подвержено все».

Брессерс заявил, что уязвимость позволяет злоумышленнику создавать переменные окружения, которые включают вредоносный код, до того, как система вызывает оболочку Bash.

«Эти переменные могут содержать код, который запускается, когда вызывается оболочка, — написал Брессерс в блоге. — Имена этих переменных не имеют значения, важно лишь содержимое».

Один из наиболее критичных случаев проявления уязвимости это, к примеру, использование на сервере Apache скриптов mod_cgi, mod_cgid, если они написаны на Bash. Как пишет Брессерс, уязвимость также можно использовать для обхода ForceCommand в конфигурациях sshd. ForceCommand предназначен для ограничения возможности удаленного запуска кода, но эксплуатация этой уязвимости обходит защиту. Некоторые варианты Git, работающие по SSH, могут быть этому подвержены.

Автор: Softodrom.ru
Дата:
Skor_Pion
Skor_Pion, 26.09.2014 02:24
http://www.securitylab.ru/news/458769.php ))
Бонька
Бонька, 25.09.2014 20:58
ыыы..))) "годами контролировать" - прям нашли будто тех, кто контролировал и тех - кого..))) унылый вброс на вентилятор в преддверии удорожания своего детища на 10%..)))
» Прочитать остальные / Написать свой комментарий

Новости > Новости НеWindows > Уязвимость в оболочке Bash позволяла хакерам годами контролировать компьютеры на Linux
Все рубрики статей:
Топ-сегодня: Новости НеWindows
На закупку смартфонов с российской ОС «Аврора» потратят 3,7 млрд руб
Смартфоны закупаются для госорганов, муниципальных организаций, бюджетных учреждений и компаний с госучастием
Endless OS 3.2 вышла тихо и незаметно
Endless OS примечателен максимально простой схемой дистрибуции
Началось создание «стопроцентно отечественной платформы для российских разработчиков»
Операционную систему Ubuntu будут перерабатывать силами отечественных программистов
Видео: ОС NeoKylin – китайский клон Windows XP на базе Linux
Национальную китайскую операционную систему скопировали с Windows XP
Новая версия дистрибутива SuSE Linux на основе ядра версии 2.6
Компания Novell объявила о выходе новой версии дистрибутива SuSE Linux с номером версии 9.1. Это первый дистрибутив SuSE Linux, выпущенный после вхождения одноименной компании в состав Novell
Новые статьи: Новости НеWindows
На закупку смартфонов с российской ОС «Аврора» потратят 3,7 млрд руб
Смартфоны закупаются для госорганов, муниципальных организаций, бюджетных учреждений и компаний с госучастием
«Лаборатория Касперского» разрабатывает мобильную операционную систему
«Лаборатория Касперского» разрабатывает защищенную мобильную операционную систему на базе KasperskyOS
Выпущено ядро Linux 5.0
Состоялся релиз новой версии ядра Linux, составляющего основу операционных систем семейства Linux
Выпущена операционная система Tails 3.12
Tails — операционная система, созданная для обеспечения приватности и анонимности
Правительство займется развитием российской мобильной ОС
Правительство будет заниматься развитием национальной мобильной операционной системы, но так, чтобы это не приводило к колоссальным издержкам

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».