Shellshock, νέο σοβαρό κενό ασφαλείας- χειρότερο από το Heartbleed;

10

Ένα νέο σοβαρότατο κενό ασφαλείας απειλεί να επηρεάσει πάνω από 500 εκατομμύρια υπολογιστές, servers και συσκευές παγκοσμίως. Το κενό βρέθηκε σε software component γνωστό ως Bash το οποίο είναι κομμάτι του Linux και του λειτουργικού συστήματος των Mac.

Το bug βαφτίστηκε Shellshock και μπορεί να χρησιμοποιηθεί για να λάβει τον εξ αποστάσεως έλεγχο κάθε συστήματος που χρησιμοποιεί Bash.

Ερευνητές εκτιμούν ότι το Shellshock είναι πολύ πιο σοβαρό από το Heartbleed που ανακαλύφθηκε τον Απρίλιο διότι δίνει απευθείας πρόσβαση στο σύστημα. Να πούμε ότι αρχικά οι εκτιμήσεις έλεγαν ότι 500.000 υπολογιστές είχαν επηρεαστεί από το Heartbleed, ενώ οι ερευνητές αναφέρουν τώρα ότι ο αριθμός ήταν τουλάχιστον 500 εκατομμύρια υπολογιστές.

Το πρόβλημα είναι ιδιαίτερα σοβαρό καθώς πολλοί web servers τρέχουν χρησιμοποιώντας το σύστημα Apache, software το οποίο συμπεριλαμβάνει Bash component.

Το Bash που είναι ακρωνύμιο του Bourne-Again SHell, είναι γραμμή εντολών σε πολλούς Unix υπολογιστές. Unix είναι ένα λειτουργικό σύστημα πάνω στο οποίο έχουν δημιουργηθεί πολλά άλλα, όπως Linux και Mac OS.

Ήδη έχει κυκλοφορήσει security patches, αλλά οι ερευνητές εκτιμούν ότι τα patches δεν είναι ολοκληρωμένα και δεν προστατεύουν εντελώς.

Shellshock-01-570

Shellshock-570

Πηγή

Παρακολουθήστε τα σχόλια
Να ειδοποιηθώ όταν
guest
10 Σχόλια
Oldest
Newest
Inline Feedbacks
View all comments
mortis

ΟΙ περισσότεροι δώσαν patch η apple μέχρι τώρα δεν είχε δώσει για το mavericks.είδομεν

theo

Τα linux δεν είναι βασισμένα στα unix. δεν τους έδιναν τότε άδεια για να βγάλουν οποιοδήποτε άλλο unix based λειτουργικό χωρίς μεγάλη αμοιβή

Panos

Δεν είναι Unix based, Είναι Unix like, και πολλά από τα εργαλεία του Unix έχουν γίνει port στο λειτουργικό.
Ομοίως και ο πυρήνας του Mac os που βασίζεται σε bsd!
Το θέμα είναι αρκετά σοβαρό γιατί το Linux τρέχει κυριολεκτικά παντού, από servers Μέχρι οικιακά routers και βιομηχανικούς αυτοματισμούς, ρομπότ κα, και τέτοιες embedded συσκευές πιθανόν να μην δουν αναβάθμιση ποτέ!

obi

Ψέματα! Το Linux και το Mac δεν έχουν ποτέ κενά ασφαλείας!
LOL

Panos

@obi εντάξει καλά κάνεις και ειρωνεύεσαι γιατί είναι σοβαρό το ζήτημα, αλλά το θέμα με το linux και το open source λογισμικό, είναι ότι κάθε κενό ασφαλείας μια που βρέθηκε, μια που λύθηκε από την κοινότητα και τους developpers, έχουν ήδη κυκλοφορήσει τα updates που το επιλύουν και μάλιστα από αυτούς που βρήκαν το κενό (όχι σαν κάτι εταιρείες που προσπαθούν να κουκουλώσουν τυχόν προβλήματα και κάνουν μήνες να τα επιδιορθώσουν)…
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

Άλλωστε, δεν υπάρχει λογισμικό χωρίς κενά ασφαλείας!

obi

@Panos

Συμφωνώ σ’ αυτό:
“Άλλωστε, δεν υπάρχει λογισμικό χωρίς κενά ασφαλείας!”
Το πρόβλημα είναι ότι οι Windows fans το λένε ανέκαθεν,
οι Linux – Mac fans το αρνούνται συνήθως στις συζητήσεις που τους κάνεις.

Επίσης συμφωνώ ότι “είναι σοβαρό το ζήτημα”
γιατί και αυτό δεν το δέχονται οι Linux – Mac fans ότι μπορεί να υπάρξει σε λειτουργικό πλην των Windows.

Τέλος διαφωνώ σ’ αυτό:
“όχι σαν κάτι εταιρείες που προσπαθούν να κουκουλώσουν τυχόν προβλήματα και κάνουν μήνες να τα επιδιορθώσουν”
διότι στα Mac πολλές φορές καθυστερούν όσο και η Microsoft (το μήνες το θεωρώ υπερβολή)
και
“κάθε κενό ασφαλείας μια που βρέθηκε, μια που λύθηκε από την κοινότητα και τους developpers, έχουν ήδη κυκλοφορήσει τα updates που το επιλύουν και μάλιστα από αυτούς που βρήκαν το κενό”
διότι όταν και τα Windows παίρνουν μια χαρά εύκολα και γρήγορα security updates
αλλά εκεί οι Windows haters δεν αναγνωρίζουν καμία δικαιολογία.

Και ασφαλώς τρολάρω και είναι φανερό,
αλλά το κάνω γιατί μπουχτίσαμε στις υπερβολές και στις ανακρίβειες ένθεν κακείθεν,
αλλά για να λέμε την αλήθεια οι περισσότερες ανακρίβειες – και με διαφορά μεγάλη μάλιστα – ακούγονται από τους Windows haters.

Panos

Επιμένω ότι στο ανοικτό λογισμικό οι διορθώσεις γίνονται πιο άμεσα, ακριβώς γιατί είναι ανοικτός ο κώδικας και μπορούν χιλιάδες προγραμματιστές, να τον διορθώσουν!
Επίσης, αν βρεθεί ένα bug, που θα βρεθεί ακριβώς γιατί χιλιάδες προγραμματιστές μπορούν να το δουν, δεν θάβεται αλλά ενημερώνεται η κοινότητα για να βρεθεί λύση.
Στο συγκεκριμένο bug λοιπόν η λύση έχει ήδη περάσει σε όλες τις major linux διανομές (πχ τώρα σου γράφω από ubuntu και έχει ήδη επιλυθεί).
Προφανώς και είναι θέμα της Apple να περάσει το update στο bash του Mac OS, καθώς το λειτουργικό της είναι κλειστό λογισμικό (ομοίως με τα Windows), ασχέτως αν έχει κάποια κομμάτια ανοικτού λογισμικού ενσωματωμένα.

Τέλος, θεωρείς ότι το Linux και όλα τα υπόλοιπα unixοειδή, έχουν οποιαδήποτε σύγκριση, με τις ευπάθειες και τα κενά ασφαλείας των Windows?…

Άντε και καλή μας μέρα!

obi

Πόσα χρόνια υπάρχει το θέμα με το Bash σε Linux-Mac ;
Και πόσο σοβαρό είναι αυτό το κενό ασφαλείας;
Η ερώτηση.

Και επίσης δεν είναι δίκαιο να συγκρίνουμε ανόμοια πράγματα,
όταν τα Windows είναι 80-90% των PC και τρέχουν σε χρήστες που είναι άπειροι αλλά και πεπειραμένοι, όταν στα Windows πολύ περισσότεροι κατασκευαστες sw γράφουν προγράμματα και αφήνει τρύπες οποιοσδήποτε,
όταν τα Windows μπαίνουν σε συστήματα που έχουν πολύ διαφορετικά υποσυστήματα-drιvers-προγράμματα κτλ.

Ο ίδιος προγραμματιστής ή η ίδια εταιρεία που θα καταγγείλει ένα κενό ασφαλείας στα Windows θα το κάνει και στο Linux,

οι ίδιοι χρήστες που θα δώσουν δικαιωματα σε malware στο Linux,
οι ίδιοι χρήστες θα εγκαταστήσουν malware στα Windows απενεργοποιώντας UAC και ως διαχειριστές

τα security upates είναι αποδοκιμαστέα στα Windows
αλλά επιδοκιμαστέα στο Linux-Mac κλπ

Μου αρέσει απλώς να είμαστε δίκαιοι,
και όταν ένα λειτουργικό είναι ευρείας αποδοχής είναι και στόχος
και αυτό συνεπάγεται να αναζητώνται περισσότερες τρύπες.
Καμία σχεση με WIndows ή Linix υπεροχής του ενός ή του άλλου.

Panos

Το κενό ασφαλείας technically μπορεί να υπάρχει, αλλά ουσιαστικά υφίσταται από την στιγμή που ανακαλύπτεται από κάποιον ερευνητή, ή διαπιστώνεται μια παραβίαση και διαπιστώνεται ότι προέρχεται από αυτό. Δηλαδή, μπορεί να είναι εκεί για 20 χρόνια, αλλά αν δεν έχει πέσει στην αντίληψη κανενός (είτε καλόβουλου είτε κακόβουλου), ουσιστικά δεν αποτελεί απειλή. Για την σύγκριση Windows – Linux: Ναι, στα Windows το μερίδιο είναι δραματικά υπέρ τους, επομένως και οι απειλές που αναπτύσσονται για αυτά. Όμως, δεν κάνουμε κουβέντα για τα κενά ασφαλείας των εφαρμογών, αλλά για τρύπες του ίδιου του λειτουργικού! Για παράδειγμα, αν ο Firefox έχει ένα security bug, θα το κουβαλάει και στο Linux. Οπότε δεν πιάνουμε τις εφαρμογές. Στα Windows το να περάσει ένα malware (ας μην σχολιάσω την πρακτική των χρηστών να εγκαθιστούν ότι βρουν από πειρατικά Sites), είναι απείρως ευκολότερο, καθώς δεν υπάρχουν οι πολιτικές άμυνας που υπάρχουν στο linux. Επίσης, αν περάσει, η ζημιά που μπορεί να κάνει είναι απείρως μεγαλύτερη, καθώς ο χρήστης είναι και Administrator (στην συντριπτική πλειοψηφία των περιπτώσεων!). Στο Linux, το πολύ να επηρεάσει τα αρχεία στον /home φάκελο του χρήστη, και αυτό υπό προϋποθέσεις…Στο δε σύστημα, δεν θα καταφέρει να κάνει τίποτα… Δεν λοιδωρώ καθόλου τα Windows, μια… Συνέχεια »

obi

“Το κενό ασφαλείας technically μπορεί να υπάρχει, αλλά ουσιαστικά υφίσταται από την στιγμή που ανακαλύπτεται από κάποιον ερευνητή, ή διαπιστώνεται μια παραβίαση και διαπιστώνεται ότι προέρχεται από αυτό. Δηλαδή, μπορεί να είναι εκεί για 20 χρόνια, αλλά αν δεν έχει πέσει στην αντίληψη κανενός (είτε καλόβουλου είτε κακόβουλου), ουσιστικά δεν αποτελεί απειλή.” Άρα η ευπάθεια ενός συστήματος έχει να κάνει και με την πιθανότητα ανακάλυψης των κενών ασφαλείας, που όπως καταλαβαίνουμε όλοι αυξάνει όσο περισσότεροι ασχολούνται με αυτό, δηλαδή όσο αυξάνει η αποδοχή του στην αγορά “Στα Windows το να περάσει ένα malware (ας μην σχολιάσω την πρακτική των χρηστών να εγκαθιστούν ότι βρουν από πειρατικά Sites), είναι απείρως ευκολότερο, καθώς δεν υπάρχουν οι πολιτικές άμυνας που υπάρχουν στο linux. Επίσης, αν περάσει, η ζημιά που μπορεί να κάνει είναι απείρως μεγαλύτερη, καθώς ο χρήστης είναι και Administrator (στην συντριπτική πλειοψηφία των περιπτώσεων!). Στο Linux, το πολύ να επηρεάσει τα αρχεία στον /home φάκελο του χρήστη, και αυτό υπό προϋποθέσεις…Στο δε σύστημα, δεν θα καταφέρει να κάνει τίποτα…” Το να είναι κάποιος Administrator, να απενεργοποιεί τα UAC, να κλικάρει όπου να ‘ναι, να μην ξέρει να χρησιμοποιεί sandboxie κλπ κλπ, είναι ισοδύναμο με το να δίνει δικαιώματα σε κάθε τί… Συνέχεια »

Αυτός ο ιστότοπος χρησιμοποιεί cookies για να βελτιώσει την εμπειρία χρήσης. Αποδοχή Περισσότερα