มิชาล ชดันสกี้ ทีมรักษาความปลอดภัยที่ Red Hat ซึ่งพัฒนาการกระจาย Linux ในชื่อเดียวกัน ค้นพบข้อบกพร่องร้ายแรงใน UNIX ซึ่งเป็นระบบที่รองรับทั้ง Linux และ OS X ข้อบกพร่องร้ายแรงในโปรเซสเซอร์ ทุบตี ตามทฤษฎีแล้ว มันช่วยให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ถูกบุกรุกได้อย่างสมบูรณ์ นี่ไม่ใช่จุดบกพร่องใหม่ แต่กลับมีอยู่ในระบบ UNIX มายี่สิบปีแล้ว
Bash คือเชลล์โปรเซสเซอร์ที่ดำเนินการคำสั่งที่ป้อนในบรรทัดคำสั่ง อินเทอร์เฟซเทอร์มินัลพื้นฐานใน OS X และเทียบเท่าใน Linux ผู้ใช้สามารถป้อนคำสั่งด้วยตนเองได้ แต่บางแอปพลิเคชันก็สามารถใช้โปรเซสเซอร์ได้เช่นกัน การโจมตีไม่จำเป็นต้องมุ่งเป้าไปที่การทุบตีโดยตรง แต่ไปที่แอปพลิเคชันใด ๆ ที่ใช้มัน ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยระบุ ข้อผิดพลาดที่ชื่อว่า Shellshock นั้นอันตรายมากกว่า ข้อผิดพลาด SSL ของไลบรารี Heartbleedซึ่งส่งผลกระทบต่ออินเทอร์เน็ตเป็นอย่างมาก
ตามข้อมูลของ Apple ผู้ใช้ที่ใช้การตั้งค่าระบบเริ่มต้นควรปลอดภัย ทางบริษัทได้แสดงความคิดเห็นเรื่องเซิฟเวอร์ iMore ดังต่อไปนี้:
ผู้ใช้ OS X ส่วนใหญ่ไม่เสี่ยงจากช่องโหว่ Bash ที่เพิ่งค้นพบ มีข้อบกพร่องใน bash ซึ่งเป็นตัวประมวลผลคำสั่ง Unix และภาษาที่รวมอยู่ใน OS X ซึ่งอาจช่วยให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงการควบคุมระบบที่มีช่องโหว่จากระยะไกลได้ ระบบ OS X ได้รับการรักษาความปลอดภัยตามค่าเริ่มต้น และไม่เสี่ยงต่อการถูกโจมตีจากระยะไกลจากข้อผิดพลาด bash เว้นแต่ผู้ใช้จะกำหนดค่าบริการ Unix ขั้นสูง เรากำลังดำเนินการเพื่อให้การอัปเดตซอฟต์แวร์สำหรับผู้ใช้ Unix ขั้นสูงของเราโดยเร็วที่สุด
บนเซิร์ฟเวอร์ StackExchange เขาปรากฏตัวขึ้น คำแนะนำวิธีที่ผู้ใช้สามารถทดสอบระบบเพื่อหาช่องโหว่ และวิธีแก้ไขจุดบกพร่องด้วยตนเองผ่านเทอร์มินัล นอกจากนี้คุณยังจะได้พบกับการสนทนาอย่างกว้างขวางในโพสต์นี้
ผลกระทบของ Shellshock นั้นใหญ่มากในทางทฤษฎี คุณสามารถค้นหา Unix ได้ไม่เฉพาะใน OS X และในคอมพิวเตอร์ที่มีระบบปฏิบัติการ Linux รุ่นใดรุ่นหนึ่งเท่านั้น แต่ยังพบได้ในเซิร์ฟเวอร์ องค์ประกอบเครือข่าย และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ อีกจำนวนมาก
บทความที่น่าสนใจ ขอบคุณสำหรับข้อมูล
ใครสามารถเขียนที่นี่เมื่อ Apple ปิดมันได้หรือไม่ ข้อผิดพลาดได้รับการแก้ไขแล้ว..
Android ไม่มีเคอร์เนล Unix เลยเหรอ?
เช่นเดียวกับ iOS
อย่างไรก็ตาม นี่ไม่ใช่ปัญหาของเคอร์เนลยูนิกซ์ แต่เป็นปัญหาของทุบตี
เกิดข้อผิดพลาดในชื่อเรื่อง ไม่ใช่ Unix ที่ทนทุกข์ทรมานจากจุดบกพร่อง แต่เป็นทุบตี Unix ไม่จำเป็นต้องรวม bash ดังนั้นจึงไม่ใช่ความผิดของ Unix
Android คือ Linux พร้อม Dalvik JVM ดังนั้นเคอร์เนลคือ Linux รวมถึงยูทิลิตี้อย่าง Bash
แต่ปัญหานั้นค่อนข้างสูงเกินจริง โดยพื้นฐานแล้วมันไม่มีผลกระทบต่อ OS X แต่เป็นเรื่องร้ายแรงสำหรับเซิร์ฟเวอร์ Linux ที่ใช้ Bash เพื่อรัน daemons เช่น Apache เป็นต้น
แต่ถึงแม้จะค่อนข้างผิดปกติเช่นบน Debian และ Ubuntu Bash จะไม่ถูกใช้เป็นค่าเริ่มต้นสำหรับบริการเซิร์ฟเวอร์ แต่เป็น Dash และไม่ได้รับผลกระทบ
ในเราเตอร์ต่างๆ, WiFI AP ฯลฯ ไม่น่าเป็นไปได้อย่างชัดเจน เนื่องจากมีแนวโน้มว่าจะมี Linux เวอร์ชันแยกส่วนโดยที่ Bash ไม่พอดี ให้ใช้ Busybox หรือ zsh แทน ฯลฯ...
ดังนั้นผมคิดว่ามันเป็นฟองสบู่เล็กน้อย
Dalvik ไม่ใช่ JVM
"เคอร์เนลคือ Linux รวมถึงยูทิลิตี้" ไม่สมเหตุสมผล
โดยทั่วไปแล้ว Android จะไม่รวม bash หรือยูทิลิตี้ GNU ทั่วไปอื่นๆ
สิ่งที่สำคัญที่สุด (!): ปัญหาไม่ใช่ว่า Apache หรือเซิร์ฟเวอร์อื่นเริ่มต้นด้วย bash แต่หาก bash เองกำลังทำงานอยู่
อย่าเข้าไปยุ่งเกี่ยวกับ Zsh มากเกินไป เพราะมีแนวโน้มที่จะถูกใช้แบบโต้ตอบมากกว่า
มันไม่ใช่ฟองสบู่
แต่อย่างอื่นคุณก็ค่อนข้างพูดถูก
การอัปเดตออกแล้ว