Противнный баг во многих операционных системах Linux и
Unix в мире может позволить злоумышленникам создать компьютерный червь, что сводит на нет машины по всему миру,
говорят эксперты по безопасности.
Баг Shellshock приравнивается к Heartbleed , поскольку позволяет
злоумышленникам сделать некоторые действия, в данном случае, запустить
несанкционированный код на большом количестве компьютерных серверов Linux. Хорошей новостью является то,
что не займет много времени, чтобы исправить ошибку. « Мы исправляем 95 %
за 10 минут» - говорит Райан Лакей, инженер по безопасности в компании.
FLAW СРАВНИВАЕТСЯ С БАГОМ ПРОШЛОЙ ВЕСНЫ ПОД НАЗВАНИЕМ HEARTBLEED
ПОТОМУ ЧТО ОН ПОЗВОЛЯЕТ ЗЛОУМЫШЛЕННИКУ СДЕЛАТЬ ОШИБКИ НА БОЛЬШОМ КОЛИЧЕСТВЕ
СЕРВЕРОВ Linux.
Так как баг Shellshock лёгок в использовании, нужно
использовать только три линии кода чтобы атаковать уязвимые сервера. Эксперты в области безопасности думают, что есть очень хороший шанс, если
кто-то написал код червя, который будет прыгать с уязвимой системы на другую с
уязвимую систему, создавая при этом неприятностей для системных администраторов.
Чтобы воспользоваться этим багом , необходимо
подключиться к программному обеспечению, таким как PHP или DHCP, которое использует атаку для запуска программ в операционной системе сервера.
Есть еще некоторые важные вопросы об ошибке. Однимн из них
- являются ли другие операционные системы, которые
используют Bash-Mac OS, уязвимыми? Другой : сколько приложений и устройств Linux , такие как серверы хранения или устройств
видеозаписи могут быть уязвимыми? Многие из этих Linux систем не используют программное обеспечение Bash, но они
могут быть уязвим для атак и сложными для исправлений.
Баг Shellshock является не такой уж большой проблемой,
как, скажем, фишинг-атаки, которые продолжают обманывать пользователей
интернета, говорит Роберт Грэм, генеральный директор компании Errata Security. Тем
не менее, это немного хуже, чем Heartbleed.
«Этот баг находится сразу в
нескольких системах. Его будет сложнее отслеживать и исправлять.
"Heartbleed – крадётся ваше имя
пользователя и пароли, но это не даёт возможности так просто запустить вредоносные
программы на уязвимой системе», говорит Грэм.
Как и Heartbleed,
новый баг был в течение долгого времени,
и был введен в широко используемой части программного обеспечения с открытым
исходным кодом. Потребовалось не такое уж большое количеством денег, чтобы усилить
безопасность нескольких популярных инструментов с открытым исходным кодом.
Источник : wired.com
ПЕРЕВОД
Комментариев нет:
Отправить комментарий