Bash Bug czyli (nie)sławna już luka bezpieczeństwa w powłoce Bash otrzymała nazwę ShellShock (CVE-2014-6271). W internecie zawrzało, niemal jak po (nie)sławnej luce w OpenSSL - Heartbleed.
The Guardian [3] niemal krzyczy, że jest ShellShock to większe zagrożenie niż HeartBleed. ShellShock określono jako "niska złożoność" oraz "wysoka dotkliwość" - tłumacząc na nasze, co w oryginale brzmi zdecydowanie lepiej: high severity, low complexity. Czyli ogólnie ujmując - wysokie zagrożenie dla niezałatanych systemów, do których może ruszyć horda script-kiddies. Poprawki powłoki Bash pojawiają się. Choć pierwsza poprawka nie była całkowitym rozwiązaniem - nie usuwała luki, choć minimalizowała zagrożenie [4].
Przy okazji zaktualizowana została aplikacja sysdig - dodano chisel shellshock_detect i od wersji 0.1.89 dostępnej od 25 września na GitHubie[2] można wywoływać komendę "sysdig -c shellshock_detect", która wykrywa shellshock injections. Na chwilę obecną w repozytoriach Ubuntu niestety jest wersja dwa oczka niżej, czyli: 0.1.87 (sprawdzane na 14.04 LTS).
Dlaczego ShellShock jest postrzegany jako tak bardzo niebezpieczny? Sysadmini poradzą sobie z serwerami i systemami, które mają pod opieką. Ale Linux zadomowił się w wielu urzadzeniach, takich jak przełączniki sieciowe (switche), rutery, drukarki, serwery NAS no i modne bardzo ostatnio urządzenia Internetu Rzeczy. W większości nie ma Basha, tylko jest jakaś lżejsza powłoka. Ale w paru zapewne znajdzie się Bash...
Raczej nie ma się co spodziewać apokalipsy... Ale załatać serwer warto :)
Wszystkie nazwy produktów, producentów i ich technologii oraz logotypy są znakami towarowymi lub zastrzeżonymi znakami towarowymi ich prawnych właścicieli
i zostały użyte jedynie w celach informacyjnych.