Shellshock gorszy niż Heartbleed - luka bezpieczeństwa w linuksowym Bashu

zdjęcie: Jung Yeon-je/AFP/Getty Images via The Guardian

To bardzo niemiła niespodzianka dla użytkowników Linuksa. Zespół ds. bezpieczeństwa Red Hat odnalazł na pozór niewielki, ale w rzeczywistości bardzo niebezpieczny błąd w powłoce systemowej Bash – jednego z najważniejszych narzędzi w systemach z rodziny Linux, jak również Apple Mac OS X. Według niektórych specjalistów – luka może być groźniejsza niż wykryty w kwietniu Heartbleed.

Bash Bug lub Shellshock – jak kto woli – to luka, która może zostać wykorzystana zdalnie do uruchomienia szkodliwego kodu. Podczas gdy Heartbleed pozwalał na szpiegowanie komputerów, nowy błąd w rzeczywistości pozwala wręcz przejąć nad nimi kontrolę. Dlatego też Shellshock oceniany jest na 10/10 pod względem niebezpieczeństwa.

Skala jest duża – coraz więcej ludzi niezadowolonych z polityki Microsoftu decyduje się na zmianę systemu na jedną z dystrybucji Linuksa. Ponadto, Bash wykorzystywany jest również często w serwerach.

Robert David Graham z Errata Security napisał na blogu: „ogromna część oprogramowania współpracuje w jakiś sposób z Bashem. Nigdy nie będziemy w stanie stworzyć kompletnego katalogu programów narażonych na tę lukę”. Nicholas Weaver z Berkeley ICSI dodał, że Shellshock „jest subtelny, brzydki i pozostanie z nami na długo”.

W sieci możemy już znaleźć łatkę dla systemów Linux, któr dla wielu dystrybucji (Fedora, OpenSUSE, Debian, Ubuntu, CentOS…) pojawi się w formie aktualizacji. Faktycznie nie usuwa ona jednak luki, lecz zamiast tego nie dopuszcza do pojawiania się jej efektów ubocznych. Dobre jednak i to. Użytkownicy Apple wciąż na swoją łatkę muszą czekać.

Źródło: The Verge, The Guardian, lcamtuf