Středa 21. února 2024, svátek má Lenka
  • schránka
  • Přihlásit Můj účet
  • Středa 21. února 2024 Lenka

V Linuxu a OS X našli extrémně nebezpečnou chybu. Je 20 let stará

  17:17aktualizováno  26. září 8:49
V UNIXových operačních systémech nejsou chyby objevovány zdaleka tak často jako ve Windows, ale když už, tak to stojí za to. Kritická chyba v procesoru „Bash“ se týká většiny linuxových distribucí i systémů od Applu. V ohrožení jsou notebooky, servery, routery a spousta elektroniky.

Informace o aktualizacích a zkušenosti administrátorů najdete na webu ShellShocker.net. | foto: shellshocker.net

Aktualizace 8:42 - Podle aktuálních informací řeší zveřejněné záplaty pro Linux jen část problému a ani po aktualizaci OS tak není chyba zcela odstraněna. Sledujte proto vydání nových aktualizací pro vaši distribuci.

Aktualizace 8:43 - V OS X by mělo být možné obě zranitelnosti svépomocí ipravit již nyní - návod ZDE.

Bash je nejrozšířenějším příkazovým procesorem, který vykonává „povely“ zadané prostřednictvím příkazové řádky. Často však jeho služeb využívají i samotné aplikace a programy. Jeho první generace byla vydána v roce 1989, nyní objevená chyba se však dostala až do verze 1.14 vydané v roce 1994. Nikdy neobjevená se dostala až do současného vydání 4.3, které využívá mimo jiné i poslední OS X Mavericks.

Chyba nazývaná „Bash Bug“, případně „Shell Shock“ byla oficiálně zveřejněna až včera, tedy ve středu 24. září 2014 (viz. záznam v Národní databázi zranitelností NVD). S její „pomocí“ může útočník převzít kontrolu nad systémem. Zda ji někdo objevil a případně i zneužil dříve, není zatím známo, ale ani vyloučeno. Útok totiž nemusí být veden přímo na Bash, ale na jakoukoli aplikaci nebo proces, který s ním pracuje. A v tom je právě jedno z největších rizik.

Větší průšvih

než byl Heartbleed

Chyba OpenSSL zabezpečení, která letos v dubnu vyděsila (psali jsme o ní zde) bezpečnostní experty po celém světě, je velkým bezpečnostním rizikem i o půl roku později. Mnoho systémů nebylo dodnes opraveno.

Chyba OpenSSL knihovny ohrozila bezpečnost dvou třetin internetu.

„Bash bug“ je přitom chyba komplikovanější a je zřejmé, že rychlost oprav postižených systémů bude mnohem nižší.

Bash totiž naleznete nejen v systémech na noteboocích, desktopech a serverech, ale i kupříkladu v síťových prvcích nebo různé elektronice.

„Nikdy nebudeme schopni vytvořit seznam všech aplikací, které jsou takto zneužitelné,“ vysvětlil Robert Graham, ředitel společnosti Errata Security. „Zařízení internetu věcí, jako třeba IP kamery, jsou obzvláště zranitelné, zejména proto, že nejsou tak samozřejmým objektem aktualizací a záplat,“ doplnil Graham.

Bezpečnostní experti mají nyní napilno. Snaží se zjistit rozsah problému, identifikovat jej a opravit v klíčových systémech. Například se neví, zda a jak jsou ohroženy chytré telefony, například iPhony. Podle některých názorů by mohl být „šiřitelem“ i infikovaný router s aktivním DHCP serverem, který připojovanému zařízení posílá informace pro síťové nastavení.

Pokud nějaký UNIXový systém používáte, neměli byste s opravou otálet. Zda patří mezi zranitelné, zjistíte například tak, že do příkazového řádku (např. Terminal) vložíte řetězec:

„env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Pokud dostanete odpověď „Vulnerable“, problém se týká i vás. V opačném případě můžete být v klidu. Notebook s Ubuntu 14.04 LTS, na kterém tento článek připravujeme, testem neprošel. Úspěšnou aktualizaci systému jsme poté provedli během několika minut.

Návod na opravu bezpečnostní chyby pro různé linuxové distribuce a OS X naleznete na webu shellshocker.net. Možnost opravy síťových prvků a další elektroniky bude záviset na rychlosti, s jakou jejich výrobci vydají nové aktualizace firmware.

  • Nejčtenější

Světová premiéra sluchátek, co jsou tak pohodlná, že je v uchu zapomenete

v diskusi je 35 příspěvků

16. února 2024  11:19

Světovou premiéru si dnes odbyla první open-ear sluchátka společnosti Bose, nazvaná Ultra Open...

Lepší než terapie. Tato sluchátka skvěle zahrají ticho i muziku

v diskusi je 20 příspěvků

14. února 2024

Ani jedna z těchto sluchátek nejsou šlápnutím vedle. Jsou mezi nimi však velké rozdíly a každý se...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Lodní výzbroj na pásech. Sturmtiger používal náboje o hmotnosti 350 kg

v diskusi je 12 příspěvků

19. února 2024

Německý vůdce Adolf Hitler byl známý megaloman. V řadě případů nebyla při zavádění techniky do...

Firma OpenAI ukázala generátor dechberoucích videí, nyní zkoumá bezpečnost

v diskusi je 57 příspěvků

15. února 2024  22:09

Jmenuje se Sora a je to nová služba firmy OpenAI, která se svým chatbotem ChatGPT zbláznila svět do...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Dokonalejší kus elektroniky nekoupíte. Prozkoumali jsme Apple Vision Pro

v diskusi je 158 příspěvků

17. února 2024

Vyzkoušeli jsme nejvíc high-tech zařízení, které si dnes můžete koupit, headset Apple Vision Pro....

VIDEO: Střílej po mně! Kameraman natočil téměř celý útok v centru Prahy

Premium Ve čtvrtek zemřelo rukou střelce Davida K. 14 obětí, 25 lidí je zraněných, z toho deset lidí těžce. Jedním z prvních na...

Máma ji dala do pasťáku, je na pervitinu a šlape. Elišku čekají Vánoce na ulici

Premium Noční Smíchov. Na zádech růžový batoh, v ruce svítící balónek, vánoční LED svíčky na baterky kolem krku. Vypadá na...

Test světlých lahvových ležáků: I dobré pivo zestárne v obchodě mnohem rychleji

Premium Ležáky z hypermarketů zklamaly. Jestli si chcete pochutnat, běžte do hospody. Sudová piva totiž dopadla před časem...

Vědci objevili nejrychleji rostoucí černou díru a nejsvítivější objekt

v diskusi je 22 příspěvků

21. února 2024  9:33

Pomocí dalekohledu Very Large Telescope (VLT) v Evropské jižní observatoři (ESO) v Chile byl...

Dočkáme se letos Windows 12? Patrně ne, protože to nedává smysl

v diskusi je 16 příspěvků

21. února 2024

Microsoft se připravuje na uvedení další dávky novinek v systému Windows. Zatímco dřív se...

Pravda o mobilech. Profesor Vrba vysvětluje vliv záření na lidské zdraví

20. února 2024

Premium Francouzi vloni zakázali prodej celé série mobilních telefonů iPhone 12. Podle nich z přístrojů...

Generativní umělá inteligence změní vyhledávání, to klasické čeká propad

v diskusi je 13 příspěvků

20. února 2024  19:43

Řada odborníků i běžných uživatelů si všímá, že výsledky vyhledávání přes dominantní Google se...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

České univerzity vyvinuly pro policii systém, kterým zastaví auto na dálku

Pražská ČVUT a brněnská VUT se chlubí unikátním systémem vyvinutým na základě poptávky policie, která chce umět...

Tak dokonalý, že tu můžete propadnout alkoholu. Čech žil v karibském ráji

Po studiu na vysoké škole ekonomické Tomáš Šapovalov cítil, že nastal ideální čas vystoupit ze zaběhlého stereotypu a...

Sexuálních scén je zbytečně moc, míní Cavill. Omlouval se kolegyni za erekci

Britský herec Henry Cavill (40) se nedávno podělil o svůj názor na filmové scény, které vyobrazují sex. Podle něj je...

Známé tváře kritizují Michala Novotného. Nejsem homofob, brání se herec

Na Michala Novotného se na sociálních sítích snesla vlna kritiky. Herec v rozhovoru pro týdeník Téma mimo jiné řekl, že...

Nikdy už nebudu hubená. Selena Gomezová se smířila s přibíráním po lécích

Selena Gomezová (31) na sociálních sítích sdílela srovnání dvou svých fotografií. Na snímku z roku 2013 je v plavkách a...