Баг в командной оболочке Bash позволял хакерам годами контролировать компьютеры на Linux и Mac OS

b56ebash-bug-5423c05196378.jpg

Найденная уязвимость позволяет злоумышленникам запускать любой код на компьютере пользователя, если он подключен к сети, и на нём запущен Bash. Проблеме подвержены все версии командной оболочки, поэтому хакеры предположительно могли пользоваться ей годами.

Баг, который уже успел получить название Shellshock или Bashdoor, был найден ещё в середине сентября, однако информация об этом не была обнародована до тех пор, пока Red Hat и Fedora не подготовили патчи для его устранения. «Заплатки» появились и для дистрибутивов CentOS и Debian.

Уязвимости также подвержены пользователи OS X. На момент написания заметки для них доступна инструкция на Stack Exchange, которая позволяет обнаружить Shellshock и устранить его.

Эксперт по безопасности компании Errarta Security уже сравнил Shellshock с «дырой» в пакете шифрования данных OpenSSL, получившей название Heartbleed, так как Bash используется на многих серверах, а также взаимодействует с огромным количеством различных программ.

This 'bash' bug is probably a bigger deal than Heartbleed, btw.

— Robert Graham (@ErrataRob) September 24, 2014

Аналитики Николас Вивер из Беркли, с которым связались The Verge для комментария, также выразил пессимистичный настрой, отметив, что Shellshock «трудноуловимый, уродливый и останется с нами на годы».

Как отмечает Engadget, главную проблему представляет возраст бага: на многих старых устройствах он не будет или попросту не сможет быть устранён.

Последняя столь крупная уязвимость была найдена в начале апреля. Баг Heartbleed стал не только источником громких заголовков в СМИ, но и вынудил многие сервисы устроить полный сброс паролей пользователей.

©  TJournal