Shellshock: «Bug» απειλεί την ασφάλεια εκατοντάδων εκατ. υπολογιστών

Shellshock: Μερικούς μήνες μετά την ανακάλυψη του διαβόητου πλέον Heartbleed, ένα νέο «bug» (πρόβλημα λογισμικού) φαίνεται να θέτει σε κίνδυνο την ασφάλεια εκατοντάδων εκατομμυρίων υπολογιστών, servers και συσκευών.

Shellshock Shellshock Shellshock

Σύμφωνα με δημοσίευμα του BBC, το πρόβλημα εντοπίστηκε σε ένα τμήμα λογισμικού υπό την ονομασία Bash, το οποίο συναντάται σε πολλά συστήματα Linux, καθώς και στο λειτουργικό για Mac της Apple. Το bug, το οποίο «βαφτίστηκε» Shellshock, μπορεί, σύμφωνα με ερευνητές, να χρησιμοποιηθεί για να αποκτηθεί εξ αποστάσεως ο έλεγχος κάθε συστήματος που χρησιμοποιεί το Bash- και κάποιοι θεωρούν ότι είναι πιο επικίνδυνο από το Heartbleed.

«Ενώ κάτι σαν το Heartbleed είχε να κάνει με την παρακολούθηση του τι συμβαίνει, αυτό έχει να κάνει με την απόκτηση άμεσης πρόσβασης στο σύστημα» δήλωσε σχετικά στο BBC ο καθηγητής Άλαν Γούντγουορντ, ερευνητής θεμάτων ασφαλείας του University of Surrey.

Όπως επισημαίνεται στο δημοσίευμα, πρώιμοι υπολογισμοί (που μάλιστα θεωρούνται από κάποιους ειδικούς ως συντηρητικοί) το Shellshock θα μπορούσε να επηρεάσει τουλάχιστον 500 εκατ. μηχανήματα. Η σημασία του ζητήματος γίνεται καλύτερα αντιληπτή αν ληφθεί υπόψιν το ότι πολλοί web servers «τρέχουν» το σύστημα Apache, το οποίο περιέχει το Bash (Bourne-Again SHell).

Σε ανακοίνωσή της, η US-CERT (US Computer Emergency Readiness Team) αναφέρει ότι είναι ενήμερη για ένα τρωτό σημείο στο Bash που επηρεάζει «λειτουργικά συστήματα βασισμένα στο Unix, όπως το Linux και το Mac OS X. Εκμετάλλευση αυτού του vulnerability μπορεί να επιτρέψει σε κάποιον που επιτίθεται εξ αποστάσεως να εκτελέσει αυθαίρετο κώδικα σε ένα σύστημα που επηρεάζεται. Συστήνεται σε χρήστες και administrators να δουν το Redhat Security Blog για επιπλέον λεπτομέρειες και να απευθυνθούν στους παρόχους Linux ή Unix-based λειτουργικών τους για ανάλογο Patch. Ένα GNU Bash patch είναι επίσης διαθέσιμο για εφαρμογή από έμπειρους χρήστες και administrators. Τα λειτουργικά με updates περιλαμβάνουν: CentOS, Debian, Redhat, Ubuntu».

Ωστόσο, σύμφωνα με το BBC, κάποιοι ερευνητές προειδοποιούν ότι τα patches είναι ατελή και δεν θα έχουν αποτέλεσμα την πλήρη προστασία των συστημάτων. Αξίζει να σημειωθεί ότι η εκμετάλλευση του bug για διεξαγωγή επιθέσεων χαρακτηρίζεται ως ιδιαίτερα απλή. Όπως αναφέρεται σε δημοσίευμα του Guardian, o Νταν Γκουΐντο, διευθύνων σύμβουλος της εταιρείας κυβερνοασφαλείας Trail of Bits επισημαίνει ότι  «η μέθοδος εκμετάλλευσης είναι πολύ πιο απλή (σε σχέση με το Heartbleed). Απλά κάνετε cut και paste μια γραμμή κώδικα, και έχετε καλά αποτελέσματα».

Πηγή: naftemporiki.gr

iGuRu.gr The Best Technology Site in Greecegns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.109 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

14 Comments

Leave a Reply
  1. Σε ευχαριστω παρά πολυ.
    Μήπως ξέρεις να με βοηθήσεις και στο πρόβλημα που έχω με το flash στο chromium?
    Το έχω βάλει με αυτή την εντολή
    sudo apt-get install -y ubuntu-restricted-extras

  2. Πρόσφατα έβαλα Ubuntu 14.4
    Μήπως θα μπορούσες να μου προτείνεις ένα σωστό antivirus (ειμαι λίγο αρχάριος στα Linux)
    Η αν έχεις κάποιο link να μου στείλεις με οδηγίες απο τερματικό θα με βοηθούσε πολυ
    Σε ευχαριστω εκ των προτέρων Κώστας

  3. Σε ευχαριστω παρά πολυ.
    Μήπως ξέρεις να με βοηθήσεις και στο πρόβλημα που έχω με το flash στο chromium?
    Το έχω βάλει με αυτή την εντολή
    sudo apt-get install -y ubuntu-restricted-extras

  4. Πρόσφατα έβαλα Ubuntu 14.4
    Μήπως θα μπορούσες να μου προτείνεις ένα σωστό antivirus (ειμαι λίγο αρχάριος στα Linux)
    Η αν έχεις κάποιο link να μου στείλεις με οδηγίες απο τερματικό θα με βοηθούσε πολυ
    Σε ευχαριστω εκ των προτέρων Κώστας

Αφήστε μια απάντηση

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).