Баг в командной оболочке Bash позволял хакерам годами контролировать компьютеры на Linux и Mac OS
Найденная уязвимость позволяет злоумышленникам запускать любой код на компьютере пользователя, если он подключен к сети, и на нём запущен Bash. Проблеме подвержены все версии командной оболочки, поэтому хакеры предположительно могли пользоваться ей годами.
Баг, который уже успел получить название Shellshock или Bashdoor, был найден ещё в середине сентября, однако информация об этом не была обнародована до тех пор, пока Red Hat и Fedora не подготовили патчи для его устранения. «Заплатки» появились и для дистрибутивов CentOS и Debian.
Уязвимости также подвержены пользователи OS X. На момент написания заметки для них доступна инструкция на Stack Exchange, которая позволяет обнаружить Shellshock и устранить его.
Эксперт по безопасности компании Errarta Security уже сравнил Shellshock с «дырой» в пакете шифрования данных OpenSSL, получившей название Heartbleed, так как Bash используется на многих серверах, а также взаимодействует с огромным количеством различных программ.
This 'bash' bug is probably a bigger deal than Heartbleed, btw.
— Robert Graham (@ErrataRob) September 24, 2014
Аналитики Николас Вивер из Беркли, с которым связались The Verge для комментария, также выразил пессимистичный настрой, отметив, что Shellshock «трудноуловимый, уродливый и останется с нами на годы».
Как отмечает Engadget, главную проблему представляет возраст бага: на многих старых устройствах он не будет или попросту не сможет быть устранён.
Последняя столь крупная уязвимость была найдена в начале апреля. Баг Heartbleed стал не только источником громких заголовков в СМИ, но и вынудил многие сервисы устроить полный сброс паролей пользователей.
© TJournal