Михал Жданский Ижил нэртэй Линуксийн түгээлтийг хөгжүүлдэг Red Hat-ийн хамгаалалтын баг Линукс болон OS X-ийн үндэс суурь болох UNIX систем дэх чухал алдааг олж илрүүлжээ. Процессорын ноцтой алдаа bash Онолын хувьд энэ нь халдагчид эвдэрсэн компьютерийг бүрэн хянах боломжийг олгодог. Энэ нь шинэ алдаа биш, харин ч эсрэгээрээ UNIX системд хорин жилийн турш оршсоор ирсэн.
Bash бол командын мөрөнд оруулсан командуудыг гүйцэтгэдэг бүрхүүл процессор, OS X дээрх терминалын үндсэн интерфейс ба Линукс дээрх түүнтэй адилтгах хувилбар юм. Хэрэглэгч командуудыг гараар оруулж болох боловч зарим программууд процессорыг бас ашиглаж болно. Энэ халдлага нь шууд bash руу чиглэсэн байх албагүй, харин үүнийг ашигладаг ямар ч программ руу чиглэсэн байх ёстой. Аюулгүй байдлын мэргэжилтнүүдийн үзэж байгаагаар Shellshock нэртэй энэ алдаа нь илүү аюултай юм Heartbleed номын сангийн SSL алдаа, энэ нь интернетийн ихэнх хэсэгт нөлөөлсөн.
Apple-ийн үзэж байгаагаар анхдагч системийн тохиргоог ашигладаг хэрэглэгчид аюулгүй байх ёстой. Тус компани серверийн талаар тайлбар хийсэн iMore дараах байдлаар:
OS X хэрэглэгчдийн дийлэнх хэсэг нь саяхан илрүүлсэн bash-ийн эмзэг байдлаас болж эрсдэлд орохгүй байна. OS X-д багтсан Unix командын процессор болон хэл болох bash-д алдаа гарсан бөгөөд энэ нь зөвшөөрөлгүй хэрэглэгчдэд эмзэг системийг алсаас хянах боломжийг олгодог. OS X системүүд нь анхдагч байдлаар аюулгүй бөгөөд хэрэглэгч Unix-ийн дэвшилтэт үйлчилгээг тохируулаагүй л бол bash алдааны алсын зайнаас мөлжлөгт өртөхгүй. Бид Unix-ийн ахисан түвшний хэрэглэгчиддээ зориулж програм хангамжийн шинэчлэлийг аль болох хурдан өгөхөөр ажиллаж байна.
Сервер дээр StackExchange тэр гарч ирэв зааварчилгаа, хэрэглэгчид системээ сул байгаа эсэхийг хэрхэн шалгах, терминалаар дамжуулан алдааг гараар хэрхэн засах талаар. Та мөн нийтлэлээс өргөн хүрээний хэлэлцүүлгийг олох болно.
Shellshock-ийн нөлөө онолын хувьд асар их. Та Unix-ийг зөвхөн OS X болон Линукс түгээлтийн аль нэгтэй компьютерт төдийгүй серверүүд, сүлжээний элементүүд болон бусад электрон төхөөрөмжүүд дээр нэлээд олон хэлбэрээр олж болно.
Сонирхолтой нийтлэл. Мэдээлэл өгсөнд баярлалаа
Apple битүүмжилсэн үед хэн нэгэн энд бичиж болох уу? Алдааг аль хэдийн зассан..
Android-д Unix цөм байхгүй гэж үү?
Яг л iOS шиг.
Гэхдээ энэ нь unix цөмүүдийн асуудал биш, харин bash-ийн асуудал юм
Гарчиг дээр алдаа байна. Энэ алдаа нь Unix биш, харин bash юм. Юникс заавал bash оруулах албагүй тул Юниксийн буруу биш.
Android бол Dalvik JVM-тэй Линукс юм. Тиймээс цөм нь Линукс, үүнд Bash гэх мэт хэрэгслүүд орно.
Гэхдээ энэ асуудал бага зэрэг хөөрөгдөж байна. Энэ нь үндсэндээ OS X дээр ямар ч нөлөө үзүүлэхгүй бөгөөд энэ нь Apache гэх мэт демонуудыг ажиллуулахын тулд Bash ашигладаг Линукс серверүүдэд л чухал юм.
Гэхдээ энэ нь ер бусын зүйл юм, жишээлбэл Debian болон Ubuntu дээр Bash-г серверийн үйлчилгээнд анхдагч байдлаар ашигладаггүй, харин Dash-д нөлөөлдөггүй.
Төрөл бүрийн чиглүүлэгчид, WiFI AP гэх мэт дээр энэ нь бараг боломжгүй юм, учир нь тэдгээр нь Bash-д тохирохгүй Линукс хувилбартай байх, оронд нь Busybox эсвэл zsh ашиглах гэх мэт...
Тиймээс энэ нь бага зэрэг хэвлэл мэдээллийн хөөс гэж бодож байна.
Далвик бол JVM биш.
"Цөм бол Линукс, хэрэгслүүдийг багтаасан" гэсэн утгагүй юм.
Android-д ихэвчлэн bash болон бусад нийтлэг GNU хэрэгслүүд байдаггүй.
Хамгийн гол нь(!): Асуудал нь Apache эсвэл өөр серверийг bash-аар эхлүүлсэн бол биш, харин bash өөрөө ажиллаж байгаа бол асуудал.
Zsh-д хэт оролцох хэрэггүй, энэ нь интерактив байдлаар ашиглагддаг.
Энэ бол хөөс биш.
Гэхдээ өөрөөр хэлбэл таны зөв.
Шинэчлэлт гарсан байна