«Страшнее Heartbleed»: в Linux обнаружена опасная уязвимость
25 сентября 2014 года
Эксперты в области информационной безопасности сообщили об обнаружении в программном обеспечении Linux серьезной уязвимости, которая может оказаться опаснее, чем нашумевшая уязвимость Heartbleed, передает агентство Reuters (Архивная копия от 22 сентября 2015 на Wayback Machine).
Как пишет "Российская Газета", ошибка была обнаружена в приложении под названием Bash, которое используется в Linux для управления командной строкой. Найденная уязвимость, позволяет злоумышленникам получить полный контроль над взломанной системой.
Портал SecurityLab уточняет, что эта уязвимость существовала в течение последних 22 лет, а обнаружил ее на минувшей неделе эксперт Стефан Чазелас.
Стоит отметить, что ошибка в Bash, открывающая хакерам доступ к чужим компьютерам, обнаружена в системах Linux, которые устанавливаются как на домашние компьютеры, так и на интернет-серверы, а также в программных платформах Mac OS X.
Руководитель отдела кибербезопасности в компании Rapid7 Тод Бердсли заявил, что уязвимость в Bash получила максимальную оценку "10", что говорит о легкости ее использования для организации различных кибератак.
"С помощью этой уязвимости злоумышленники потенциально могут проникнуть в операционную систему, внести в нее изменения и так далее", - заявил Бердсли.
Бердсли также подчеркнул, что администраторы любых систем, использующих Bash, должны немедленно загрузить соответствующее обновление. Однако другие специалисты отмечают, что часть патчей, направленных на устранение ошибки, на самом деле ее не устраняют, а обновление безопасности для Mac OS X пока еще не создано. Таким образом, большинство подключенных к Сети компьютеров на Linux или Mac OS в настоящее время находится под угрозой.
Проверить конкретный компьютер на наличие уязвимости Bash можно при помощи простого теста, который публикует CNews (Архивная копия от 1 января 2015 на Wayback Machine). Для проверки необходимо запустить терминал и ввести выражение env x='() { :;}; echo vulnerable' bash -c "echo this is a test".
При действующей в системе уязвимости терминал возвращает сообщения "vulnerable" и "this is a test", а если баг устранен, то "bash: warning: x: ignoring function definition attempt", "bash: error importing function definition for 'x'" и "this is a test" (ошибка в синтаксисе).
Согласно данным портала, проведенный тест показал присутствие уязвимости в последней актуальной версии OS X 10.9.5 Mavericks.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
