Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


V Linuxu a OS X našli extrémně nebezpečnou chybu. Je 20 let stará

  17:17aktualizováno  26. září 8:49
V UNIXových operačních systémech nejsou chyby objevovány zdaleka tak často jako ve Windows, ale když už, tak to stojí za to. Kritická chyba v procesoru „Bash“ se týká většiny linuxových distribucí i systémů od Applu. V ohrožení jsou notebooky, servery, routery a spousta elektroniky.

Informace o aktualizacích a zkušenosti administrátorů najdete na webu ShellShocker.net. | foto: shellshocker.net

Aktualizace 8:42 - Podle aktuálních informací řeší zveřejněné záplaty pro Linux jen část problému a ani po aktualizaci OS tak není chyba zcela odstraněna. Sledujte proto vydání nových aktualizací pro vaši distribuci.

Aktualizace 8:43 - V OS X by mělo být možné obě zranitelnosti svépomocí ipravit již nyní - návod ZDE.

Bash je nejrozšířenějším příkazovým procesorem, který vykonává „povely“ zadané prostřednictvím příkazové řádky. Často však jeho služeb využívají i samotné aplikace a programy. Jeho první generace byla vydána v roce 1989, nyní objevená chyba se však dostala až do verze 1.14 vydané v roce 1994. Nikdy neobjevená se dostala až do současného vydání 4.3, které využívá mimo jiné i poslední OS X Mavericks.

Chyba nazývaná „Bash Bug“, případně „Shell Shock“ byla oficiálně zveřejněna až včera, tedy ve středu 24. září 2014 (viz. záznam v Národní databázi zranitelností NVD). S její „pomocí“ může útočník převzít kontrolu nad systémem. Zda ji někdo objevil a případně i zneužil dříve, není zatím známo, ale ani vyloučeno. Útok totiž nemusí být veden přímo na Bash, ale na jakoukoli aplikaci nebo proces, který s ním pracuje. A v tom je právě jedno z největších rizik.

Větší průšvih

než byl Heartbleed

Chyba OpenSSL zabezpečení, která letos v dubnu vyděsila (psali jsme o ní zde) bezpečnostní experty po celém světě, je velkým bezpečnostním rizikem i o půl roku později. Mnoho systémů nebylo dodnes opraveno.

Chyba OpenSSL knihovny ohrozila bezpečnost dvou třetin internetu.

Chyba OpenSSL knihovny ohrozila bezpečnost dvou třetin internetu.

„Bash bug“ je přitom chyba komplikovanější a je zřejmé, že rychlost oprav postižených systémů bude mnohem nižší.

Bash totiž naleznete nejen v systémech na noteboocích, desktopech a serverech, ale i kupříkladu v síťových prvcích nebo různé elektronice.

„Nikdy nebudeme schopni vytvořit seznam všech aplikací, které jsou takto zneužitelné,“ vysvětlil Robert Graham, ředitel společnosti Errata Security. „Zařízení internetu věcí, jako třeba IP kamery, jsou obzvláště zranitelné, zejména proto, že nejsou tak samozřejmým objektem aktualizací a záplat,“ doplnil Graham.

Bezpečnostní experti mají nyní napilno. Snaží se zjistit rozsah problému, identifikovat jej a opravit v klíčových systémech. Například se neví, zda a jak jsou ohroženy chytré telefony, například iPhony. Podle některých názorů by mohl být „šiřitelem“ i infikovaný router s aktivním DHCP serverem, který připojovanému zařízení posílá informace pro síťové nastavení.

Pokud nějaký UNIXový systém používáte, neměli byste s opravou otálet. Zda patří mezi zranitelné, zjistíte například tak, že do příkazového řádku (např. Terminal) vložíte řetězec:

„env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Pokud dostanete odpověď „Vulnerable“, problém se týká i vás. V opačném případě můžete být v klidu. Notebook s Ubuntu 14.04 LTS, na kterém tento článek připravujeme, testem neprošel. Úspěšnou aktualizaci systému jsme poté provedli během několika minut.

Návod na opravu bezpečnostní chyby pro různé linuxové distribuce a OS X naleznete na webu shellshocker.net. Možnost opravy síťových prvků a další elektroniky bude záviset na rychlosti, s jakou jejich výrobci vydají nové aktualizace firmware.




Nejčtenější

Největší vzducholoď Zeppelin je v Praze. Podívejte se na přistání

Netradiční pohled se naskytl Pražanům i lidem, kteří bydlí mezi hlavním městem...

Netradiční pohled se dnes naskytl Pražanům i lidem v Česku, jimiž nad hlavami proletěla největší komerční vzducholoď...

Libeňský most nejde zachránit. Stavěli ho starou technologií, práci odbyli

Libeňský most

Nejde opravit tak, aby vydržel sto let, shodují se odborníci na mostní konstrukce a beton. Libeňský most je postaven...



Někdo zřejmě tajně vyrábí látky ničící ozónovou vrstvu. Ale kdo a kde?

Ozonová díra, jako je nad Antarktidou na snímku, nad Arktidou není. Zatím.

Množství látek poškozujících ozónovou vrstvu v posledních letech klesá překvapivě pomalu, ohlásili vědci. Někde zřejmě...

Zaostalí Arabové měli strach ze vzdělaných židovských přistěhovalců

Demonstrace proti nové Bílé knize omezující židovskou migraci do Palestiny, 1939

Před 70 lety byl založen stát Izrael. Co vše tomuto aktu předcházelo, co vadilo Arabům na Židech vracejících se do své...

Budete si moci dát na web fotky z koncertu i příští týden? GDPR přichází

Vyšší ochrana dat klientů neboli GDPR

Už v pátek 25. května začne platit Obecné nařízení o ochraně osobních údajů, tzv. GDPR. Ačkoliv se kolem něj rozvinula...

Další z rubriky

Stáhněte si zdarma: předběhněte a instalujte novou verzi Windows 10 hned

Ilustrační foto - upgrade

Microsoft uvolnil další verzi Windows 10. Ještě dnes ji můžete mít i vy. Být upozorněni na změny v souborech a složkách...

Stáhněte si zdarma: monitorování, diagnostika a zvýšení výkonu PC

CAM

Bohaté možnosti pro monitorování hardwaru v počítači nabízí program CAM. E-mailový klient s kalendářem a řadou funkcí...

Šifrování e-mailu bylo prolomeno. Odborníci doporučují nepoužívat jej

Únik z vězení pomocí e-mailu

Evropští odborníci odhalili bezpečnostní nedostatek v šifrování e-malů pomocí systému PGP a S/MIME.

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Najdete na iDNES.cz