Michal Ždanský Il team di sicurezza di Red Hat, che sviluppa l'omonima distribuzione Linux, ha scoperto un difetto critico in UNIX, il sistema che sta alla base sia di Linux che di OS X. Un difetto critico nel processore bash in teoria, consente all'aggressore di assumere il controllo completo del computer compromesso. Non si tratta di un bug nuovo, anzi, esiste nei sistemi UNIX da vent'anni.
Bash è un processore shell che esegue i comandi immessi nella riga di comando, l'interfaccia terminale di base in OS X e il suo equivalente in Linux. I comandi possono essere immessi manualmente dall'utente, ma alcune applicazioni possono anche utilizzare il processore. L'attacco non deve essere rivolto direttamente a bash, ma a qualsiasi applicazione che lo utilizzi. Secondo gli esperti di sicurezza, questo bug chiamato Shellshock è più pericoloso di Errore SSL della libreria Heartbleed, che ha interessato gran parte di Internet.
Secondo Apple, gli utenti che utilizzano le impostazioni di sistema predefinite dovrebbero essere al sicuro. L'azienda ha commentato per il server iMore come segue:
Gran parte degli utenti OS X non sono a rischio a causa della vulnerabilità bash scoperta di recente. C'è un bug in bash, il processore di comandi Unix e il linguaggio incluso in OS X, che potrebbe consentire agli utenti non autorizzati di ottenere l'accesso per controllare in remoto un sistema vulnerabile. I sistemi OS X sono sicuri per impostazione predefinita e non sono vulnerabili agli exploit remoti del bug bash a meno che l'utente non abbia configurato servizi Unix avanzati. Stiamo lavorando per fornire un aggiornamento software per i nostri utenti Unix avanzati il prima possibile.
Sul server StackExchange è apparso Istruzioni, come gli utenti possono testare le vulnerabilità del proprio sistema e come correggere manualmente il bug tramite il terminale. All'interno del post troverete anche un'ampia discussione.
L’impatto di Shellshock è teoricamente enorme. Puoi trovare Unix non solo in OS X e nei computer con una delle distribuzioni Linux, ma anche in gran numero su server, elementi di rete e altri dispositivi elettronici.
Articolo interessante. Grazie per le informazioni
Qualcuno può scrivere qui quando Apple lo ha sigillato? L'errore è già stato corretto..
Android non ha per caso un kernel Unix?
Proprio come iOS.
Tuttavia questo non è un problema dei kernel Unix, ma di Bash
Errore proprio nel titolo. Non è Unix a soffrire del bug, è Bash. Unix non deve includere bash, quindi non è colpa di Unix.
Android è Linux con Dalvik JVM. Quindi il kernel è Linux, comprese utilità come Bash.
Ma il problema è un po’ esagerato. Fondamentalmente non ha alcun impatto su OS X, è serio solo per i server Linux che utilizzano Bash per eseguire demoni come Apache, ecc.
Ma anche questo è abbastanza insolito, ad esempio su Debian e Ubuntu per i servizi server non viene utilizzato di default Bash, ma Dash, e non ne viene influenzato.
Su vari router, AP WiFI, ecc., è esplicitamente improbabile, perché tendono ad avere una versione ridotta di Linux in cui Bash non si adatta, utilizzando invece Busybox o zsh, ecc...
Quindi penso che sia un po' una bolla mediatica.
Dalvik non è una JVM.
"Il kernel è Linux, comprese le utilità" non ha senso.
Android di solito non include bash o altre utilità GNU comuni.
La cosa più importante(!): il problema non è se Apache o un altro server viene avviato da bash, ma se bash stesso è in esecuzione.
Non lasciarti coinvolgere troppo da Zsh, è più probabile che venga utilizzato in modo interattivo.
Non è una bolla.
Ma per il resto hai perfettamente ragione.
L'aggiornamento è uscito