Shellshock: Heartbleediäkin vakavampi bugi useissa Linuxeissa ja OS X:ssä?
Red Hatin turvallisuusryhmä on löytänyt Bash-komentotulkista bugin, joka saattaa osoittautua jopa kuuluisaa Heartbleed-bugia vakavammaksi. Bash on oletuskomentotulkki useimmissa GNU/Linux-jakeluissa ja Mac OS X:ssä. Common Vulnerabilities and Exposures -listalla bugille on anenttu koodit CVE-2014-6271 ja CVE-2014-7169.
Bash bug- ja Shellshock-nimillä kutsuttu bugi mahdollistaa hyökkääjän syöttämän koodin ajamisen heti, kun komentotulkki käynnistetään, joka voi jättää käyttöjärjestelmän alttiiksi muille hyökkäyksille. Ongelmasta tekee huomattavasti vakavamman se, että nyt löydetty bugi on ollut ilmeisesti olemassa jo pitkään esimerkiksi yritystason Linux-jakeluissa. Kaikkien bugista kärsivien käyttöjärjestelmäversioiden päivittäminen on liki mahdoton urakka.
The Vergen mukaan Red Hat ja Fedora olisivat jo julkaisseet bugille päivityksen, mutta tuore blogipostaus Fedoran sivuilla paljastaa ettei päivitys lopulta korjannutkaan ongelmaa. Red Hatin ongelmaa käsittelevät sivut ovat ainakin uutisartikkelin kirjoitushetkellä tavoittamattomissa.
Tuoreimman vakaan OS X -version eli 10.9.5:n mukana tuleva Bash-komentotulkin versio 3.2.51 kärsii Shellshock-bugista. Myös päivittyneen 3.2.51(1)-version kerrotaan olevan edelleen haavoittuva yhdelle bugin variaatioista. Mac OS X:n käyttäjät voivat tarkistaa onko heidän käyttämänsä versio Bash-komentotulkista haavoittuva ja lukea asiaan liittyviä ohjeita Stack Exhcangen viestistä.
Päivitys klo 21.26:
Trend Micro on julkaissut sivuillaan blogipostauksen Shellshockin tiimoilta. Yhtiö neuvoo käyttäjiä vahtimaan käyttöjärjestelmänsä päivityksiä ja päivittämään käyttöjärjestelmän heti kun päivitys tulee saataville. Järjestelmänvalvojia yhtiö neuvoo poistamaan Bash-skriptauksen käytöstä, mikäli käytössä on Linux-käyttöjärjestelmä. Nettisivustojen ylläpitäjiä Trend Micro neuvoo paitsi päivittämään palvelimensa, myös muuttamaan sivuston skriptejä siten ettei Bash-haavoittuvuutta voida käyttää.
Viestintävirasto puolestaan varoittaa, että Shellshock-haavoittuvuutta käytetään tälläkin hetkellä aktiivisesti verkkohyökkäyksissä. Viestintäviraston mukaan määrittelemättömät tahot ovat julkaisseet netissä useita esimerkkikomentoja, jotka lataavat haavoittuviin palvelimiin haittaohjelman ja suorittavat sen.
The Verge, Worse than Heartbleed? Today’s Bash bug could break security for years
Trend Micro, What You Need To Know About Shellshock, aka the ”Bash Bug”
Viestintävirasto, Shellshock-haavoittuvuutta hyödynnetään aktiivisesti
