L'équipe de sécurité de Red Hat, qui développe la distribution Linux du même nom, a découvert une faille critique dans UNIX, le système qui sous-tend à la fois Linux et OS X. Une faille critique dans le processeur bash en théorie, cela permet à l'attaquant de prendre le contrôle total de l'ordinateur compromis. Ce bug n'est pas nouveau, bien au contraire, il existe dans les systèmes UNIX depuis vingt ans.
Bash est un processeur shell qui exécute les commandes saisies dans la ligne de commande, l'interface de base du terminal sous OS X et son équivalent sous Linux. Les commandes peuvent être saisies manuellement par l'utilisateur, mais certaines applications peuvent également utiliser le processeur. L’attaque ne doit pas nécessairement viser directement bash, mais toute application qui l’utilise. Selon les experts en sécurité, ce bug nommé Shellshock est plus dangereux que Erreur SSL de la bibliothèque Heartbleed, qui a affecté une grande partie d’Internet.
Selon Apple, les utilisateurs utilisant les paramètres système par défaut devraient être en sécurité. La société a commenté pour le serveur iMore comme suit:
Une grande partie des utilisateurs d'OS X ne sont pas menacés par la vulnérabilité bash récemment découverte. Il existe un bug dans bash, le processeur de commandes Unix et le langage inclus dans OS X, qui pourrait permettre à des utilisateurs non autorisés d'accéder au contrôle à distance d'un système vulnérable. Les systèmes OS X sont sécurisés par défaut et ne sont pas vulnérables aux exploits à distance du bogue bash, sauf si l'utilisateur a configuré des services Unix avancés. Nous nous efforçons de fournir une mise à jour logicielle pour nos utilisateurs Unix avancés dès que possible.
Sur le serveur StackExchange il est apparu instructions, comment les utilisateurs peuvent tester les vulnérabilités de leur système et comment corriger manuellement le bogue via le terminal. Vous trouverez également une discussion approfondie avec le message.
L’impact de Shellshock est théoriquement énorme. Vous pouvez trouver Unix non seulement sous OS X et sur les ordinateurs dotés de l'une des distributions Linux, mais également en nombre considérable sur les serveurs, les éléments de réseau et autres appareils électroniques.
Article intéressant. Merci pour l'info
Quelqu'un peut-il écrire ici quand Apple l'a scellé ? L'erreur a déjà été corrigée..
Android n'aurait-il pas un noyau Unix par hasard ?
Tout comme iOS.
Cependant, ce n'est pas un problème de noyaux Unix, mais de bash
Erreur juste dans le titre. Ce n'est pas Unix qui souffre du bug, c'est bash. Unix n'est pas obligé d'inclure bash, ce n'est donc pas la faute d'Unix.
Android est Linux avec Dalvik JVM. Le noyau est donc Linux, incluant des utilitaires comme Bash.
Mais ce problème est quelque peu exagéré. Cela n'a fondamentalement aucun impact sur OS X, cela n'est sérieux que pour les serveurs Linux qui utilisent Bash pour exécuter des démons comme Apache, etc.
Mais c'est aussi assez inhabituel, par exemple sur Debian et Ubuntu, ce n'est pas Bash qui est utilisé par défaut pour les services serveur, mais Dash, et cela n'est pas affecté.
Sur divers routeurs, points d'accès WiFI, etc., c'est explicitement improbable, car ils ont tendance à avoir une version simplifiée de Linux où Bash ne rentre pas, en utilisant Busybox ou zsh à la place, etc...
Je pense donc que c'est un peu une bulle médiatique.
Dalvik n'est pas une JVM.
"Le noyau est Linux, y compris les utilitaires" n'a pas de sens.
Android n'inclut généralement pas bash ou d'autres utilitaires GNU courants.
La chose la plus importante (!) : Le problème n'est pas de savoir si Apache ou un autre serveur est démarré par bash, mais si bash lui-même est en cours d'exécution.
Ne vous impliquez pas trop dans Zsh, il est plus susceptible d'être utilisé de manière interactive.
Ce n'est pas une bulle.
Mais sinon tu as tout à fait raison.
La mise à jour est sortie