Ενώ έχουν περάσει μόνο μερικοί μήνες από το μεγάλο σοκ που είχε υποστεί η διαδικτυακή κοινότητα από το Heartbleed, ήδη ανακαλύφθηκε ένα ακόμα «τρωτό σημείο». Αυτή τη φορά εντοπίστηκε στα συστήματα Linux , OS X και όσα άλλα συστήματα βασίζονται στο Unix και φαίνεται να επηρεάζει τουλάχιστον 500 εκατομμύρια υπολογιστές. Το συγκεκριμένο κενό ασφαλείας ονομάζεται Shellshock και υπάρχει εδώ και 22 χρόνια στα λειτουργικά αυτά, για ακρίβεια από το Bash 1.3 μέχρι και την τελευταία έκδοση 4.3.
Το Bash είναι το λογισμικό που χρησιμοποιούν τα περισσότερα συστήματα Unix και ουσιαστικά ελέγχει και εκτελεί τις εντολές που γράφετε στο command prompt (διαβάστε περισσότερα εδώ). Πάντως, ακόμα κι αν δεν χρησιμοποιείτε το Bash, μην ξεγελιέστε ότι δεν συντρέχει κάποιος λόγος ανησυχίας καθώς υπάρχει μεγάλη πιθανότητα να τρέχει στο background. Ουσιαστικά, το παραπάνω κενό επιτρέπει την εισαγωγή μεταβλητών περιβάλλοντος από μη εξουσιοδοτημένους χρήστες, το οποίο με την σειρά του μπορεί να επιτρέψει την απομακρυσμένη εκτέλεση κάποιου κώδικα.
Αν και το πιο πιθανό είναι ότι άμα κάνατε update το λογισμικό μετά από χθες το βράδυ το bug θα έχει διορθωθεί, μπορείτε να δοκιμάσετε το παρακάτω προκειμένου να ελέγξετε ότι δεν είστε ευάλωτοι:
- Ανοίγετε ένα command prompt ή τερματικό άμα το έχετε στα ελληνικά
- Γράφετε μετά το $ που εμφανίζει το τερματικό το εξής:
env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
- Πατάτε enter
-
- Αν από κάτω το σύστημα γράψει «this is a test» τότε είστε ευάλωτοι
- Αν εμφανίσει:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test
ή άμα έχετε ελληνικό σύστημα
bash: προειδοποίηση: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test
Τότε το κενό ασφαλείας σας έχει καλυφθεί.
Βέβαια υπάρχει η πιθανότητα η έκδοση που χρησιμοποιείτε να μην λαμβάνει πλέον ενημερώσεις και να πρέπει να ψάξετε σε διάφορα forum για να βρείτε το πώς θα το διορθώσετε. Όπως κι αν έχει, πάντως, αποτελεί ένα πολύ βασικό κενό ασφαλείας κι αν ανήκετε στην “ευπαθή” κατηγορία θα πρέπει να το διορθώσετε άμεσα!
Ναι αλλα η κοινοτητα ελευθερου λογισμικου εδωσε αστραπιαια τα απαραιτητα update….Η Apple για το OSX???
Καλησπέρα, ευχαριστούμε για το σχόλιό σας. Όντως έσπευσαν ραγδαίως να διορθώσουν το πρόβλημα και να προστατεύσουν τους καταναλωτές του. Για το OS X προς το παρόν μπορείτε να βρειτε πληροφορίες εδώ http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an/146851#146851. Είμαστε στη διάθεση σας για κάθε απορία ή παραπάνω στοιχεία χρειαστείτε.
Καλησπέρα, ευχαριστούμε για το σχόλιό σας. Όντως έσπευσαν ραγδαίως να διορθώσουν το πρόβλημα και να προστατεύσουν τους καταναλωτές του. Για το OS X προς το παρόν μπορείτε να βρειτε πληροφορίες εδώ http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an/146851#146851. Είμαστε στη διάθεση σας για κάθε απορία ή παραπάνω στοιχεία χρειαστείτε.