Hlavní navigace

Heartbleed má nástupce. Bezpečnostní díra míří na Linux a OS X

Jan Beránek

Technici Red Hatu našli problém, který se dotkne především uživatelů Linuxu a OS X. Podle prvních odhadů by mohlo být ohroženo kolem půl miliardy počítačů.

Nová zranitelnost se týká služby Bash (Bourne-Again SHell), která je běžnou součástí unixových systémů. Ohroženy jsou tak především počítače běžící na Linuxu a OS X. Problém je závažnější i proto, že služba Bash běží i v rámci Apache, který pohání miliony webových stránek a systémů. 

Bezpečnostní riziko by se mohlo rychle rozšířit i v rámci internetu věcí. Zvlášť zranitelná jsou zařízení jako třeba webkamery. Jejich software totiž umožňuje spouštět skripty. Navíc se neaktualizují jako třeba systémy v počítačích, tvrdí Robert Graham na blogu firmy

Ve srovnání s Heartbleedem, který se objevil během jara, je tento problém výrazně složitější. Heartbleed se týkal pouze určité verze OpenSSL, ale mnohem obecnější. Nová bezpečnostní trhlina může být využita ke kompletnímu ovládnutí jakéhokoliv počítače, ve kterém běží Bash. 

Heardbleed bylo víceméně o sledování, ale tady se otevírá přímý přístup do systému. Dveře jsou otevřeny, tvrdí pro BBC Alan Woodward, z University of Surrey. A zatímco jarní hrozba se mohla dotknout půl milionu počítačů, teď už jde o půl miliardy. 

Americký CERT už vydal varování a urguje co nejrychlejší vydání a instalování patchů. Bezpečnostní analytici podle BBC varují před tím, že současné patche nejsou ještě úplně kompletní a nemohou plně zabezpečit systém. 

Bezpečáci z britského Rapid7 ohodnotili aktuální problém deseti body z deseti za závažnost. Zároveň je extrémně jednoduché díry využít, což nahrává pirátům. Útočníci přebírají systém, možnosti, co s ním mohou dělat, jsou neomezené. Kdokoliv, kdo provozuje systém, ve kterém běží Bash, by měl okamžitě vydat patche, tvrdí Tod Beardsley z Rapid7.

Podrobněji, včetně technických detailů, o chybě píše náš partnerský server Root.cz.

Našli jste v článku chybu?

25. 9. 2014 14:15

Kverulant (neregistrovaný)

Kritická zranitelnost v Bash (CVE-2014-6271) !
Závažnost: Kritická
Obtížnost zneužití: Nízká
Náročnost opravy: Nízká

Princip:
Zranitelnost využívá způsobu jakým Bash nakládá s proměnnými prostředí. Bylo zjištěno, že pokud útočník definuje ještě před zavoláním Bash proměnnou prostředí a injektuje do ní speciální posloupnost znaků, dojde ke spuštění kódu definovaného útočníkem. Existuje celá řada způsobů jakým dochází k definici uživatelských proměnných z neznámého zdroje a následné spuštění Bash…




25. 9. 2014 15:45

Michal (neregistrovaný)

Ano, tohle je přesně ta část, která článku chybí.

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Co chtějí operátoři při přechodu na DVB-T2?

Co chtějí operátoři při přechodu na DVB-T2?

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Sleva na dítě a manželku pro OSVČ je zpět. Ale..