тут косяк резко появился:
Свободный софт не перестаёт преподносить сюрпризы, но в этом году судьба отчего-то особенно щедра на сюрпризы неприятные. Обнародованная на днях дыра в командной оболочке Bourne Again SHell — более известной под сокращённым вариантом имени: bash — стала уже вторым таким «подарком» за несколько месяцев.
на bash завязано бесчисленное множество программ, как офлайновых, так и онлайновых. Сложные программы частенько вызывают bash, чтобы выполнить ту или иную высокоуровневую системную операцию — и каждая такая программа теперь потенциально может стать распахнутой дверью для злоумышленников. «Башем» пользуются серверы (в первую очередь Apache, на котором держится половина всего киберпространства). На «Баш» опираются тысячи проприетарных прикладных программных продуктов: Oracle, например, только что предупредила, что три десятка её программ завязаны на bash. К услугам «Баш» прибегают и многие свободные приложения.
Bash — с момента своего появления в 1989 году и следующие примерно десять лет — занимал скромное место одного из. Лишь после взрыва популярности Linux в «нулевые» он стал лидером, шеллом по умолчанию для большинства популярных Linux-дистрибутивов, и прочих UNIX-производных, от OS до Android. Bash и по сей день остаётся одним из самых популярных (в смысле, устанавливаемых) системных приложений в мире Linux. А в составе других программных продуктов (Git, Cygwin) он забрался и на MS Windows, например.
Впрочем, шелл, командная оболочка, всё же не просто доступ к утилитам. Это ещё и высокоуровневый язык программирования, весьма удобный и потому востребованный в миллионах случаев. Написанные на таком языке программы в простонародье называют скриптами, с их помощью легко и быстро решаются задачи, которые на классических языках программирования потребовали бы серьёзных затрат времени. Программирование на том же bash очень похоже на игру в кубики: пользователь подбирает нужные компоненты системы (утилиты, программы), связывает их скриптом — и получает работающее решение. Такой «бытовой автоматизацией» увлекаются не только сисадмины или опытные юзеры, но и сама операционная система, и многие прикладные программы (вспомните «Войну инициализаторов»).
И именно здесь обнаружилась проблема: уязвимость Shellshock (тут игра слов: shell — это и оболочка, но и артиллерийский снаряд, так что в классическом понимании shellshock — шок от взрыва, контузия) заключается в способности bash исполнять команды, переданные косвенно, спрятанные в так называемых переменных среды (используемых чтобы помочь операционной системе выполнить ту или иную операцию быстрей: например, в переменных среды хранят пути к некоторым файлам). Ошибка не ошибка, скорее недосмотр — вкравшийся в bash ещё на ранних этапах разработки (считается, в начале 90-х годов). И только сейчас, почти четверть века спустя, кто-то обратил на него внимание!
Отсюда — масштаб трагедии. Институт NIST (один из авторитетов в вопросах кибербезопасности) оценил опасность Shellshock в 10 баллов из 10 возможных: эксплуатируется Shellshock элементарно, достаточно скормить программе, использующей bash, особым образом сформированный запрос (где вредоносные команды замаскированы под переменные среды), и — готово, нападающий «получает шелл» (то есть доступ к командной оболочке на атакуемом компьютере).
Похоже миф о неуязвимости линукс систем пошел под откос. печаль...
Свободный софт не перестаёт преподносить сюрпризы, но в этом году судьба отчего-то особенно щедра на сюрпризы неприятные. Обнародованная на днях дыра в командной оболочке Bourne Again SHell — более известной под сокращённым вариантом имени: bash — стала уже вторым таким «подарком» за несколько месяцев.
на bash завязано бесчисленное множество программ, как офлайновых, так и онлайновых. Сложные программы частенько вызывают bash, чтобы выполнить ту или иную высокоуровневую системную операцию — и каждая такая программа теперь потенциально может стать распахнутой дверью для злоумышленников. «Башем» пользуются серверы (в первую очередь Apache, на котором держится половина всего киберпространства). На «Баш» опираются тысячи проприетарных прикладных программных продуктов: Oracle, например, только что предупредила, что три десятка её программ завязаны на bash. К услугам «Баш» прибегают и многие свободные приложения.
Bash — с момента своего появления в 1989 году и следующие примерно десять лет — занимал скромное место одного из. Лишь после взрыва популярности Linux в «нулевые» он стал лидером, шеллом по умолчанию для большинства популярных Linux-дистрибутивов, и прочих UNIX-производных, от OS до Android. Bash и по сей день остаётся одним из самых популярных (в смысле, устанавливаемых) системных приложений в мире Linux. А в составе других программных продуктов (Git, Cygwin) он забрался и на MS Windows, например.
Впрочем, шелл, командная оболочка, всё же не просто доступ к утилитам. Это ещё и высокоуровневый язык программирования, весьма удобный и потому востребованный в миллионах случаев. Написанные на таком языке программы в простонародье называют скриптами, с их помощью легко и быстро решаются задачи, которые на классических языках программирования потребовали бы серьёзных затрат времени. Программирование на том же bash очень похоже на игру в кубики: пользователь подбирает нужные компоненты системы (утилиты, программы), связывает их скриптом — и получает работающее решение. Такой «бытовой автоматизацией» увлекаются не только сисадмины или опытные юзеры, но и сама операционная система, и многие прикладные программы (вспомните «Войну инициализаторов»).
И именно здесь обнаружилась проблема: уязвимость Shellshock (тут игра слов: shell — это и оболочка, но и артиллерийский снаряд, так что в классическом понимании shellshock — шок от взрыва, контузия) заключается в способности bash исполнять команды, переданные косвенно, спрятанные в так называемых переменных среды (используемых чтобы помочь операционной системе выполнить ту или иную операцию быстрей: например, в переменных среды хранят пути к некоторым файлам). Ошибка не ошибка, скорее недосмотр — вкравшийся в bash ещё на ранних этапах разработки (считается, в начале 90-х годов). И только сейчас, почти четверть века спустя, кто-то обратил на него внимание!
Отсюда — масштаб трагедии. Институт NIST (один из авторитетов в вопросах кибербезопасности) оценил опасность Shellshock в 10 баллов из 10 возможных: эксплуатируется Shellshock элементарно, достаточно скормить программе, использующей bash, особым образом сформированный запрос (где вредоносные команды замаскированы под переменные среды), и — готово, нападающий «получает шелл» (то есть доступ к командной оболочке на атакуемом компьютере).
Похоже миф о неуязвимости линукс систем пошел под откос. печаль...
о несовместимостях, возникновении проблем с сторонним ПО и т.д. Соответственно, проще заплатить +3000 рублей и избежать страшных непонятностей...
