Уязвимость в оболочке Bash позволяла хакерам годами контролировать компьютеры на Linux


Уязвимость в оболочке Bash позволяла хакерам годами контролировать компьютеры на Linux


Найдена критическая уязвимость в популярной командной оболочке Bourne again shell, известной просто как Bash и использующейся в большинстве дистрибутивов Linux, сообщает «Лаборатория Касперского». Уязвимость содержится во всех версиях Bash и также затрагивает Mac OS X. Администраторов призывают немедленно установить патчи к их системам.

Уязвимость, успевшая получить названия Shellshock или Bashdoor, позволяет злоумышленнику удаленно записывать вредоносный исполняемый код в переменную, значение которой исполняется при вызове Bash. Как отмечает The Verge, эта уязвимость могла годами позволять хакерам контролировать компьютеры, работающие на Linux.

Ошибка в Bash была обнаружена Стефани Чазелас, администратором Unix- и Linux-сетей и телекоммуникаций в Akamai. Производители популярных дистрибутивов Linux, включая Red Hat, начали выпускать патчи, сразу после того, как узнали об открытии Чазелас, из ее поста в рассылке OSS.

«Многие функции вызывают Bash и я бы поставил на то, что в большинстве систем есть то, что вызывает Bash, и вы даже не знаете, что оно это делает, — заявил Джош Брессерс, менеджер по безопасности Red Hat. — Мы проанализировали все те различные продукты, которые поставляет Red Hat, и которые, по нашему мнению, подвержены наибольшему риску. Это одна из тех ситуаций, когда имеется бесчисленное множество вариантов, с которыми вам нужно разобраться. К примеру, уязвимость Heartbleed было легко понять, и точно так же ей было подвержено все».

Брессерс заявил, что уязвимость позволяет злоумышленнику создавать переменные окружения, которые включают вредоносный код, до того, как система вызывает оболочку Bash.

«Эти переменные могут содержать код, который запускается, когда вызывается оболочка, — написал Брессерс в блоге. — Имена этих переменных не имеют значения, важно лишь содержимое».

Один из наиболее критичных случаев проявления уязвимости это, к примеру, использование на сервере Apache скриптов mod_cgi, mod_cgid, если они написаны на Bash. Как пишет Брессерс, уязвимость также можно использовать для обхода ForceCommand в конфигурациях sshd. ForceCommand предназначен для ограничения возможности удаленного запуска кода, но эксплуатация этой уязвимости обходит защиту. Некоторые варианты Git, работающие по SSH, могут быть этому подвержены.

Автор: Softodrom.ru
Дата:
Skor_Pion
Skor_Pion, 26.09.2014 02:24
http://www.securitylab.ru/news/458769.php ))
Бонька
Бонька, 25.09.2014 20:58
ыыы..))) "годами контролировать" - прям нашли будто тех, кто контролировал и тех - кого..))) унылый вброс на вентилятор в преддверии удорожания своего детища на 10%..)))
» Прочитать остальные / Написать свой комментарий

Новости > Новости НеWindows > Уязвимость в оболочке Bash позволяла хакерам годами контролировать компьютеры на Linux
Все рубрики статей:
Топ-сегодня: Новости НеWindows
Lindows 4.0 на удивление хороша
После недели тестирования Lindows я был слегка удивлен тем, что мне понравилась эта операционная система
Ошибка в KDE сделала Linux-системы уязвимыми
В популярном программном обеспечении KDE (комплексный пакет ПО для Linux) обнаружена серьезная уязвимость
Разработчик Национальной программной платформы обанкротился
Компания «ПингВин Софтвер», выигравшая конкурс на создание прототипа Национальной программной платформы, подала в суд заявление о своем банкротстве
Microsoft разработала экспериментальную операционную систему
Microsoft выпустила прототип новой операционной системы под кодовым названием Barrelfish
Joomla - открытый проект, ответвившийся от Mamba
Группа разработчиков из проекта по созданию открытой CMS - Mambo - обнародовала собственную версию системы под названием Joomla
Новые статьи: Новости НеWindows
Ядро Linux защитят от пользовательских процессов
Разработчики Linux добавили в операционную систему модуль изоляции ядра, исключающий доступ к ключевым частям кода на пользовательском уровне
Выпущена ОС Debian 10
Разработчики операционной системы Debian объявили о релизе стабильной 10-й версии, получившей кодовое имя «Buster»
Российскую ОС Astra Linux поставят на смартфоны
В России поступят в продажу первые мобильные устройства на отечественной операционной системе Astra Linux
Российская ОС «Аврора» может сменить Android на смартфонах Huawei
Глава Минкомсвязи Константин Носков и исполнительный директор Huawei Го Пин обсуждали возможный переход смартфонов китайской компании на российскую операционную систему «Аврора»
Перевыполнен план по сбору пожертвований OpenBSD на 2019 год
Разработчики операционной системы OpenBSD перевыполнили план по сбору пожертвований на 2019 год

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».