Chyba je označená jako CVE-2014-6271, získala nejvyšší skóre 10/10 (nejnebezpečnější) a složitost zneužití je pouze low (nízká). Zatím ale nejsou známy případy, kdy by někdo „bash bug“ opravdu využil. Na rozdíl od Heartbleedu, jenž se dotkl pouze poslední verzí knihovny OpenSSL, díra v Bashi je přítomná už od verze 1.14.0 až po současnou 4.3. Dvaadvacet let starou zranitelnost objevil Stephane Chazelas.
Vývojáři Red Hatu, Fedory, SuSE, Debianu nebo Ubuntu už vydali záplaty, problém je ale mnohem dalekosáhlejší. Jak upozorňuje Robert Graham, kvůli stáří chyby a velkém rozšíření Bashe je možné, že spousta zařízení nebude nikdy aktualizována. Webové servery Apache, jež využívají CGI scripty napsané v bashi, provozovatelé nejspíš záplatují. Ale staré síťové routery se už podpory pravděpodobně nedočkají.
Další informace
- Red Hat: Bash specially-crafted environment variables code injection attack
- Errata Security: Bash bug as big as Heartbleed
ČLÁNKY DO MAILU