Řadu webů ohrožuje chyba zvaná „Shell Shock“, aktualizujte Bash
Nálepky:
Včera nahlášená chyba v Bashi může být zneužitelná skrze web server – viz průzkum Roberta Grahama. Její rozsah bude podle Roberta srovnatelný s Heartbleed.
Princip chyby předvádí následující kód, který kromě bash skriptu spustí také obsah proměnné x:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a testDoporučuje se neprodlená aktualizace Bashe (týká se nejen Linuxu, ale i OS X).
Více se o „Shell Shock“ dočtete:
Martin Hassman
Martin Hassman založil a řadu let vedl magazín Zdroják, absolvoval VŠCHT Praha, pořádal řadu konferencí, pomáhal s rozšířením otevřených technologií, byl u založení projektů CZilla, Dáme roušky a dalších. Vymyslel a dva roky vedl dobrovolnický projekt Movapp pod Česko.Digital. Nyní pracuje jako produktový manažer v datové platformě Golemio.cz.
Návod na aktualizaci bash na macu OS X: http://www.nabito.net/how-to-fix-shell-shock-bash-bug-on-os-x/
Tenhle postup ale neřeší záplatování /bin/sh, takže jakýkoli skript s „#!/bin/sh“ bude dál krásně zranitelný :)
Lepší postup je třeba tady: http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an