Pondělí 17. května 2021, svátek má Aneta
  • schránka
  • Přihlásit Můj účet
  • Pondělí 17. května 2021 Aneta

V Linuxu a OS X našli extrémně nebezpečnou chybu. Je 20 let stará

  17:17aktualizováno  26. září 8:49
V UNIXových operačních systémech nejsou chyby objevovány zdaleka tak často jako ve Windows, ale když už, tak to stojí za to. Kritická chyba v procesoru „Bash“ se týká většiny linuxových distribucí i systémů od Applu. V ohrožení jsou notebooky, servery, routery a spousta elektroniky.

Informace o aktualizacích a zkušenosti administrátorů najdete na webu ShellShocker.net. | foto: shellshocker.net

Aktualizace 8:42 - Podle aktuálních informací řeší zveřejněné záplaty pro Linux jen část problému a ani po aktualizaci OS tak není chyba zcela odstraněna. Sledujte proto vydání nových aktualizací pro vaši distribuci.

Aktualizace 8:43 - V OS X by mělo být možné obě zranitelnosti svépomocí ipravit již nyní - návod ZDE.

Bash je nejrozšířenějším příkazovým procesorem, který vykonává „povely“ zadané prostřednictvím příkazové řádky. Často však jeho služeb využívají i samotné aplikace a programy. Jeho první generace byla vydána v roce 1989, nyní objevená chyba se však dostala až do verze 1.14 vydané v roce 1994. Nikdy neobjevená se dostala až do současného vydání 4.3, které využívá mimo jiné i poslední OS X Mavericks.

Chyba nazývaná „Bash Bug“, případně „Shell Shock“ byla oficiálně zveřejněna až včera, tedy ve středu 24. září 2014 (viz. záznam v Národní databázi zranitelností NVD). S její „pomocí“ může útočník převzít kontrolu nad systémem. Zda ji někdo objevil a případně i zneužil dříve, není zatím známo, ale ani vyloučeno. Útok totiž nemusí být veden přímo na Bash, ale na jakoukoli aplikaci nebo proces, který s ním pracuje. A v tom je právě jedno z největších rizik.

Větší průšvih

než byl Heartbleed

Chyba OpenSSL zabezpečení, která letos v dubnu vyděsila (psali jsme o ní zde) bezpečnostní experty po celém světě, je velkým bezpečnostním rizikem i o půl roku později. Mnoho systémů nebylo dodnes opraveno.

Chyba OpenSSL knihovny ohrozila bezpečnost dvou třetin internetu.

Chyba OpenSSL knihovny ohrozila bezpečnost dvou třetin internetu.

„Bash bug“ je přitom chyba komplikovanější a je zřejmé, že rychlost oprav postižených systémů bude mnohem nižší.

Bash totiž naleznete nejen v systémech na noteboocích, desktopech a serverech, ale i kupříkladu v síťových prvcích nebo různé elektronice.

„Nikdy nebudeme schopni vytvořit seznam všech aplikací, které jsou takto zneužitelné,“ vysvětlil Robert Graham, ředitel společnosti Errata Security. „Zařízení internetu věcí, jako třeba IP kamery, jsou obzvláště zranitelné, zejména proto, že nejsou tak samozřejmým objektem aktualizací a záplat,“ doplnil Graham.

Bezpečnostní experti mají nyní napilno. Snaží se zjistit rozsah problému, identifikovat jej a opravit v klíčových systémech. Například se neví, zda a jak jsou ohroženy chytré telefony, například iPhony. Podle některých názorů by mohl být „šiřitelem“ i infikovaný router s aktivním DHCP serverem, který připojovanému zařízení posílá informace pro síťové nastavení.

Pokud nějaký UNIXový systém používáte, neměli byste s opravou otálet. Zda patří mezi zranitelné, zjistíte například tak, že do příkazového řádku (např. Terminal) vložíte řetězec:

„env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Pokud dostanete odpověď „Vulnerable“, problém se týká i vás. V opačném případě můžete být v klidu. Notebook s Ubuntu 14.04 LTS, na kterém tento článek připravujeme, testem neprošel. Úspěšnou aktualizaci systému jsme poté provedli během několika minut.

Návod na opravu bezpečnostní chyby pro různé linuxové distribuce a OS X naleznete na webu shellshocker.net. Možnost opravy síťových prvků a další elektroniky bude záviset na rychlosti, s jakou jejich výrobci vydají nové aktualizace firmware.

Fagradalsfjall online

Sledujte živě aktivní sopku na Islandu. Erupce začala po týdnech otřesů 19. března a zláště pak v noci nabízí fascinující podívanou.

  • Nejčtenější

Jak dopadne pandemie covidu? Zřejmě nejhůře jak mohla, přitom ne špatně

Virus SARS-CoV-2 napříč světem zřejmě zdomácní. Pravděpodobnost, že by se ho podařilo vytlačit a získat proti němu...

Co může Rusko nabídnout Česku jako nástupce gripenů a proč se tak nestane

Česko připravuje výběrové řízení na nové nadzvukové letouny, protože za šest let vyprší smlouva na pronájem JAS 39...

Číně se jako druhému státu světa podařilo úspěšně přistát na Marsu

Čína jako druhý stát světa po USA úspěšně přistála na planetě Mars. Zvládla to přitom na první pokus. Pojízdná...

Bez panzerfaustů by to měli pražští povstalci mnohem těžší

Nenahraditelnou zbraní Pražského povstání se stala pancéřová pěst. Bez této účinné pěchotní protitankové zbraně by byl...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Fanoušci retra pláčou. Z Windows zmizí ikonka CRT monitoru, změní se i koš

Na podzim plánuje Microsoft vydat novou podzimní edici Windows 10, která přinese další pokračování přechodu na nový...

Zapomenutý Čech třikrát přelstil gestapo. Francouzi mu dali válečný kříž

Premium Za války byl jedním z nejaktivnějších členů československého odboje ve Francii. Převáděl lidi přes hranici, z ilegality...

Nejsme Slované ani Germáni. Češi mají unikátní mix genetických profilů

Premium Čemu vlastně Slované věřili? Byli skutečně beránci? Či si libovali v krvavých rituálech a bojích jako Germáni? Čeho se...

Tisknu se k zemi. A rakety se blíží! Reportérka pod sprchou raket Hamasu

Premium Ležím na trávníku, příjemně teplý večer. Byla by to pohoda, ale je to peklo, místo hvězd totiž počítám na nebi zásahy...

  • Další z rubriky

Po této očistě Windows si budete myslet, že máte nový PC

S jarem bývá pevně spjatý úklid všeho druhu. Zapomínat by se přitom nemělo ani na PC. Jak hardwarovou, tak softwarovou...

Tyto užitečné funkce v prohlížeči Edge vás možná ani nenapadlo použít

Nová podoba Microsoft Edge poháněná technologií Chromium (využívá ji i Chrome a další webové prohlížeče) má za sebou...

I e-mail lze poslat tak, aby si ho nikdo neoprávněný neotevřel

Chcete-li někomu poslat e-mail a zajistit, aby si jeho obsah přečetl pouze příjemce, nestačí zvolit jen standardní...

Stáhněte si nové aktualizace od Microsoftu, doporučuje americká vláda

Společnost Microsoft vydala v noci na středu pravidelnou dávku aktualizací pro své systémy. Ta obsahuje i opravu...

Bohuš Matuš se oženil v Krtkově světě. Vzal si o 30 let mladší Lucii

Bohuš Matuš (47) a Lucie Palkaninová (18) jsou manželé. Vzali se ve středu odpoledne v rodinném parku Krtkův svět v...

Televize NBC odmítá vysílat Zlaté glóby, Cruise kvůli porotě vrací trofeje

Americká televize NBC nebude příští rok vysílat slavnostní předávání Zlatých glóbů. Rozhodla se tak po vlně...

Zatím jsem spíš studentka než modelka, říká šestnáctiletá dcera Kubelkové

Ivu Kubelkovou (44) si všichni pamatují první vicemiss roku 1996 a několikanásobnou vítězku ankety o nejkrásnější...

Twitch se stává Pornhubem pro děti, zaplavily ho streamerky v bikinách

Streamovací služba Twitch má poměrně přísná pravidla pro zobrazování sexuálního obsahu, některé uživatelky v nich však...

Ideální počet sexuálních partnerů existuje, ale opravdu ho chcete znát?

Tři jsou málo a osmnáct je moc. Nevíte, kde mají hranice ostatní a vlastně ani netušíte, jak si udělat obrázek o tom,...