Хуже, чем Heartbleed? Bash bug может стать проблемой безопасности на годы

25.09.2014 | 10:50 Экономика

Bash 3.2 (версия, поставляемая с OS X) уязвима для эксплойта удаленного выполнения кода

Пользователей Linux сегодня ждал неприятный сюрприз. Команда безопасности Red Hat обнаружила мелкий, но опасный баг в оболочке Bash — одной из самых универсальных и широко используемых утилит в Linux. Он называется Bash bug или Shellshock. При должном обращении, баг позволяет выполнить код злоумышленника при вызове оболочки, оставляя широко открытую дверь для большого спектра атак. Что еще хуже, данный баг присутствует в корпоративном программного обеспечении Linux в течение длительного времени, так что исправить каждый экземпляр ПО может быть затруднительно. Red Hat и Fedora уже выпустили патчи для исправления бага. Эта же уязвимость касается OS X, и в то время как компания Apple еще не опубликовала официальное исправление, пост на Stack Exchange содержит подробную информацию о том, как пользователи Mac могут проверить систему на уязвимость и исправить ее.

Роберт Дэвид Грэм из Errata Security уже сравнил баг с Heartbleed, за его широкое и потенциально долгосрочное влияния на безопасность системы. «Огромный процент программного обеспечения каким-то образом взаимодействует с оболочкой», написал Грэм в своем блоге. «У нас никогда не будет возможности каталогизировать все программное обеспечение, уязвимое для Bash bag». Исследователь Николас Вивер из Berkeley ICSI согласился с пессимизмом: «Он крошечный, уродливый, и будет с нами в течение многих лет».