Pondělí 14. června 2021, svátek má Roland
  • schránka
  • Přihlásit Můj účet
  • Pondělí 14. června 2021 Roland

V Linuxu a OS X našli extrémně nebezpečnou chybu. Je 20 let stará

  17:17aktualizováno  26. září 8:49
V UNIXových operačních systémech nejsou chyby objevovány zdaleka tak často jako ve Windows, ale když už, tak to stojí za to. Kritická chyba v procesoru „Bash“ se týká většiny linuxových distribucí i systémů od Applu. V ohrožení jsou notebooky, servery, routery a spousta elektroniky.

Informace o aktualizacích a zkušenosti administrátorů najdete na webu ShellShocker.net. | foto: shellshocker.net

Aktualizace 8:42 - Podle aktuálních informací řeší zveřejněné záplaty pro Linux jen část problému a ani po aktualizaci OS tak není chyba zcela odstraněna. Sledujte proto vydání nových aktualizací pro vaši distribuci.

Aktualizace 8:43 - V OS X by mělo být možné obě zranitelnosti svépomocí ipravit již nyní - návod ZDE.

Bash je nejrozšířenějším příkazovým procesorem, který vykonává „povely“ zadané prostřednictvím příkazové řádky. Často však jeho služeb využívají i samotné aplikace a programy. Jeho první generace byla vydána v roce 1989, nyní objevená chyba se však dostala až do verze 1.14 vydané v roce 1994. Nikdy neobjevená se dostala až do současného vydání 4.3, které využívá mimo jiné i poslední OS X Mavericks.

Chyba nazývaná „Bash Bug“, případně „Shell Shock“ byla oficiálně zveřejněna až včera, tedy ve středu 24. září 2014 (viz. záznam v Národní databázi zranitelností NVD). S její „pomocí“ může útočník převzít kontrolu nad systémem. Zda ji někdo objevil a případně i zneužil dříve, není zatím známo, ale ani vyloučeno. Útok totiž nemusí být veden přímo na Bash, ale na jakoukoli aplikaci nebo proces, který s ním pracuje. A v tom je právě jedno z největších rizik.

Větší průšvih

než byl Heartbleed

Chyba OpenSSL zabezpečení, která letos v dubnu vyděsila (psali jsme o ní zde) bezpečnostní experty po celém světě, je velkým bezpečnostním rizikem i o půl roku později. Mnoho systémů nebylo dodnes opraveno.

Chyba OpenSSL knihovny ohrozila bezpečnost dvou třetin internetu.

Chyba OpenSSL knihovny ohrozila bezpečnost dvou třetin internetu.

„Bash bug“ je přitom chyba komplikovanější a je zřejmé, že rychlost oprav postižených systémů bude mnohem nižší.

Bash totiž naleznete nejen v systémech na noteboocích, desktopech a serverech, ale i kupříkladu v síťových prvcích nebo různé elektronice.

„Nikdy nebudeme schopni vytvořit seznam všech aplikací, které jsou takto zneužitelné,“ vysvětlil Robert Graham, ředitel společnosti Errata Security. „Zařízení internetu věcí, jako třeba IP kamery, jsou obzvláště zranitelné, zejména proto, že nejsou tak samozřejmým objektem aktualizací a záplat,“ doplnil Graham.

Bezpečnostní experti mají nyní napilno. Snaží se zjistit rozsah problému, identifikovat jej a opravit v klíčových systémech. Například se neví, zda a jak jsou ohroženy chytré telefony, například iPhony. Podle některých názorů by mohl být „šiřitelem“ i infikovaný router s aktivním DHCP serverem, který připojovanému zařízení posílá informace pro síťové nastavení.

Pokud nějaký UNIXový systém používáte, neměli byste s opravou otálet. Zda patří mezi zranitelné, zjistíte například tak, že do příkazového řádku (např. Terminal) vložíte řetězec:

„env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Pokud dostanete odpověď „Vulnerable“, problém se týká i vás. V opačném případě můžete být v klidu. Notebook s Ubuntu 14.04 LTS, na kterém tento článek připravujeme, testem neprošel. Úspěšnou aktualizaci systému jsme poté provedli během několika minut.

Návod na opravu bezpečnostní chyby pro různé linuxové distribuce a OS X naleznete na webu shellshocker.net. Možnost opravy síťových prvků a další elektroniky bude záviset na rychlosti, s jakou jejich výrobci vydají nové aktualizace firmware.

  • Nejčtenější

Tajuplné monstrum, které bylo k ničemu. Odpočívá v tankovém muzeu u Moskvy

V muzeu tankových sil v podmoskevské Kubince je jedno německé vozidlo, které na první pohled upoutá svými rozměry a...

Některé funkce z Windows a Office zmizely. Připomeňte si ty nejhorší

Microsoft se v průběhu let v systému Windows zbavil celé řady funkcí. Některé byly zbytečné, jiné až otravné. Pojďme si...

Jak Izrael zničil irácký jaderný reaktor. Došlo i na spolupráci s Íránem

Izrael byl a je Arabům trnem v oku. K jeho zničení neváhali desítky let usilovat o získání jaderných zbraní. Na čele...

Snahy nepřátel pořídit si jaderné zbraně se rozhodl Izrael eliminovat

V létě 1981 přeoraly izraelské bomby irácký jaderný reaktor v Al Tuvajtě. Tím Saddámu Husajnovi na dlouhou dobu...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

První vzdušné tankování z dronu. Američané jsou zase o krok napřed

Letové testy tankovacího bezosádkového letounu Boeing MQ-25 Stingray mají za sebou významný milník. Vůbec poprvé v...

Sledujeme začátek rituální sebevraždy lidstva, říká Čech s nejvyšším IQ

Premium Oficiálně je považován za nejchytřejšího Čecha. Jako robot ale nepůsobí. Při osobním setkání je Karel Kostka, vzděláním...

Upřímnost fotbalové antihvězdy. Souček o tetování, rasismu i vyjídání ledničky

Premium Říká o sobě, že je obyčejný kluk z Brodu. Přitom si ho už stihla zamilovat fotbalová Anglie a Česko na něj spoléhá: na...

O antikoncepci už není takový zájem. Párový sex upadá, míní gynekolog

Premium „Všichni strašili, že bude upadat mravnost a ženy budou mít z dlouhodobého užívání pilulek zhoubná onemocnění jater....

  • Další z rubriky

Skrýt, zašifrovat nebo obojí? Nejlepší způsoby uzamčení souborů

Soubory, respektive data jsou to nejcennější, co v počítačích máme. Pokud je pravidelně zálohujeme, je to v pořádku,...

Tyto užitečné funkce v prohlížeči Edge vás možná ani nenapadlo použít

Nová podoba Microsoft Edge poháněná technologií Chromium (využívá ji i Chrome a další webové prohlížeče) má za sebou...

Krok za krokem. Jak přejít z prohlížeče Chrome na Edge

Výměna internetového prohlížeče se může zdát složitější, než je. Pokud jste se rozhodli přejít z googlovského Chrome na...

Devět triků pro lepší zacházení se soubory v Průzkumníku Windows

Cílem Průzkumníka souborů ve Windows bylo uživateli umožnit vždy pohodovou správu, zobrazení a spuštění dokumentů a...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Manželka majitele Alzy promluvila o fungování firmy, se Zavoralem se rozvádí

Majitel tuzemského internetového gigantu Alza.cz Aleš Zavoral patří se svým jměním mezi nejbohatší Čechy. Na rozdíl od...

Sledujeme začátek rituální sebevraždy lidstva, říká Čech s nejvyšším IQ

Premium Oficiálně je považován za nejchytřejšího Čecha. Jako robot ale nepůsobí. Při osobním setkání je Karel Kostka, vzděláním...

Moderátor Aleš Cibulka skončil na jednotce intenzivní péče

Čtyřiačtyřicetiletý Aleš Cibulka měl v sobotu v rozhlasovém pořadu Tobogan dělat narozeninový rozhovor s herečkou Marií...

Dušek: Očkovat se nenechám. Indiáni raději zemřeli, než se nechat zotročit

Jaroslav Dušek promluvil o svém rozhodnutí nenechat se očkovat vakcínou proti covidu-19. Herec, který nedávno oslavil...

Mladí by chtěli do penze v 60 letech. Mají jasno, jaký důchod jim postačí

Generace narozená po roce 1971 bude podle současných pravidel odcházet do penze v 65 letech. A to jak ženy, tak i muži....