Michal Ždanský U squadra di sicurità di Red Hat, chì sviluppa a distribuzione Linux di u listessu nome, hà scupertu un difettu criticu in UNIX, u sistema chì sottumette à Linux è OS X. Un difettu criticu in u processatore. bash in teoria, permette à l'attaccante di piglià u cuntrollu tutale di l'urdinatore cumprumissu. Questu ùn hè micca un bug novu, à u cuntrariu, esiste in sistemi UNIX per vint'anni.
Bash hè un processore di cunchiglia chì eseguisce cumandamenti inseriti in a linea di cummanda, l'interfaccia di basa Terminal in OS X è u so equivalente in Linux. I cumandamenti ponu esse inseriti manualmente da l'utilizatore, ma alcune applicazioni ponu ancu aduprà u processatore. L'attaccu ùn deve esse diretta direttamente à bash, ma à qualsiasi applicazione chì l'utilice. Sicondu i sperti di sicurità, stu bug chjamatu Shellshock hè più periculosu chè Errore SSL di a biblioteca Heartbleed, chì hà affettatu assai di l'internet.
Sicondu Apple, l'utilizatori chì utilizanu i paràmetri predeterminati di u sistema duveranu esse sicuru. A cumpagnia hà cummentatu per u servitore iMore cum'è seguita:
Una grande parte di l'utilizatori di OS X ùn sò micca in risicu da a vulnerabilità bash recentemente scuperta. Ci hè un bug in bash, u processatore di cumandamentu Unix è a lingua inclusa in OS X, chì puderia permette à l'utilizatori micca autorizati di accede à cuntrullà remotamente un sistema vulnerabile. I sistemi OS X sò sicuri per automaticamente è ùn sò micca vulnerabili à sfruttamenti remoti di u bug bash, salvu chì l'utilizatore hà cunfiguratu servizii Unix avanzati. Travagliemu per furnisce un aghjurnamentu di u software per i nostri utilizatori Unix avanzati u più prestu pussibule.
Nantu à u servitore StackExchange hè apparsu istruzioni, cumu l'utilizatori ponu pruvà u so sistema per vulnerabilità, è cumu per riparà manualmente u bug à traversu u terminal. Truverete ancu una discussione larga cù u post.
L'impattu di Shellshock hè teoricamente enormu. Pudete truvà Unix micca solu in OS X è in l'urdinatori cù una di e distribuzioni Linux, ma ancu in un numeru considerableu nantu à i servitori, elementi di rete è altre elettronica.
Articulu interessante. Grazie per l'infurmazioni
Qualchissia pò scrive quì quandu Apple l'hà sigillatu? L'errore hè digià riparatu..
Android ùn hà micca un kernel Unix per casu?
Cum'è iOS.
Tuttavia, questu ùn hè micca un prublema di kernels Unix, ma di bash
Errore ghjustu in u titulu. Ùn hè micca Unix chì soffre di u bug, hè bash. Unix ùn deve micca include bash, dunque ùn hè micca culpa di Unix.
Android hè Linux cù Dalvik JVM. Allora u kernel hè Linux, cumprese utilità cum'è Bash.
Ma stu prublema hè un pocu inflatu. Bastamente ùn hà micca impattu in OS X, hè solu seriu per i servitori Linux chì utilizanu Bash per eseguisce demoni cum'è Apache, etc.
Ma ancu questu hè abbastanza inusual, per esempiu in Debian è Ubuntu, Bash ùn hè micca utilizatu per automaticamente per i servizii di u servitore, ma Dash, è ùn hè micca affettatu.
Nantu à diversi routers, WiFI AP, etc., hè esplicitamente improbabile, perchè tendenu à avè una versione spogliata di Linux induve Bash ùn si mette micca, usendu Busybox o zsh invece, etc...
Allora pensu chì hè un pocu di una bolla media.
Dalvik ùn hè micca una JVM.
"Kernel hè Linux, cumprese l'utilità" ùn hà micca sensu.
Android di solitu ùn include bash, o altre utilità GNU cumuni.
A cosa più impurtante (!): U prublema ùn hè micca se Apache o un altru servitore hè iniziatu da bash, ma se bash stessu hè in esecuzione.
Ùn avete micca troppu implicatu cù Zsh, hè più prubabile di esse usatu interattivamente.
Ùn hè micca una bolla.
Ma altrimenti avete abbastanza ragione.
L'aghjurnamentu hè fora