Bash obsahuje nebezpečnou chybu. Ohroženy jsou linuxové distribuce i OS X

25. 9. 2014

Sdílet

 Autor: Redakce

Větší problém než Heartbleed, tak nazývá Robert Graham z Errata Security nově objevenou zranitelnost v Bashi. To je program, který vykonává textové příkazy v Unixu a systémech jím inspirovaných (linuxové a BSD distribuce, OS X apod.). Softwarová chyba dovoluje spustit jakýkoliv příkaz uložený v proměnných prostředích a teoreticky může pomoci získat data nebo kontrolu nad systémem nepovolané osobě.

 

Chyba je označená jako CVE-2014-6271, získala nejvyšší skóre 10/10 (nejnebezpečnější) a složitost zneužití je pouze low (nízká). Zatím ale nejsou známy případy, kdy by někdo „bash bug“ opravdu využil. Na rozdíl od Heartbleedu, jenž se dotkl pouze poslední verzí knihovny OpenSSL, díra v Bashi je přítomná už od verze 1.14.0 až po současnou 4.3. Dvaadvacet let starou zranitelnost objevil Stephane Chazelas.

Vývojáři Red Hatu, Fedory, SuSE, Debianu nebo Ubuntu už vydali záplaty, problém je ale mnohem dalekosáhlejší. Jak upozorňuje Robert Graham, kvůli stáří chyby a velkém rozšíření Bashe je možné, že spousta zařízení nebude nikdy aktualizována. Webové servery Apache, jež využívají CGI scripty napsané v bashi, provozovatelé nejspíš záplatují. Ale staré síťové routery se už podpory pravděpodobně nedočkají.

Další informace