Какво представлява уязвимостта на Shellshock?

Shellshock е събирателно име за поредица от проблеми със сигурността на Linux в обвивката на bash. Bash е терминалът по подразбиране в много Linux дистрибуции, което означава, че ефектите от грешките са особено широко разпространени.

Забележка: Уязвимостта не засегна системите на Windows, тъй като Windows не използва обвивката на Bash.

През септември 2014 г. Стефан Шазелас, изследовател по сигурността, открива първия проблем в Bash и го съобщава частно на лицето, което поддържа Bash. Той работеше с разработчика, отговорен за поддръжката на Bash и беше разработена корекция, която разреши проблема. След като корекцията беше пусната и достъпна за изтегляне, естеството на грешката беше пуснато на обществеността близо до края на септември.

В рамките на часове след обявяването на грешката той беше експлоатиран в дивата природа и в рамките на един ден вече имаше ботнети, базирани на експлойта, използвани за извършване на DDOS атаки и сканиране на уязвимости. Въпреки че пластирът вече беше наличен, хората не бяха в състояние да го разгърнат достатъчно бързо, за да избегнат прилива на експлоатация.

През следващите няколко дни бяха идентифицирани още пет свързани уязвимости. Отново пачовете бяха бързо разработени и пуснати, но въпреки активната експлоатация, актуализациите все още не бяха непременно приложени незабавно или дори достъпни незабавно във всички случаи, което доведе до повече компрометирани машини.

Уязвимостите идват от различни вектори, включително базирани на CGI системни повиквания на уеб сървър, които се обработват неправилно. OpenSSH сървърът позволява повишаване на привилегиите от ограничена обвивка до неограничена обвивка. Злонамерените DHCP сървъри успяха да изпълнят код на уязвими DHCP клиенти. Когато обработва съобщенията, Qmail разрешава експлоатация. Ограничената обвивка на IBM HMC може да бъде използвана за получаване на достъп до пълна bash обвивка.

Поради широкото разпространение на грешката, както и сериозността на уязвимостите и прилива на експлоатация, Shellshock често се сравнява със „Heartbleed“. Heartbleed беше уязвимост в OpenSSL, която изтече съдържанието на паметта без никакво взаимодействие с потребителя.


Leave a Comment

🚨 Поправете грешка 2026 „Сертификатът на Microsoft Edge не е надежден“: 7 доказани стъпки, които работят мигновено!

🚨 Поправете грешка 2026 „Сертификатът на Microsoft Edge не е надежден“: 7 доказани стъпки, които работят мигновено!

Имате проблеми с грешката „Сертификатът на Microsoft Edge не е надежден“ през 2026 г.? Открийте бързи и доказани решения за възстановяване на сигурното сърфиране. Ръководство стъпка по стъпка, без да са необходими технически умения.

Как да гледате US Open 2023 онлайн без кабел

Как да гледате US Open 2023 онлайн без кабел

Откритото първенство на САЩ се завръща в Националния тенис център USTA Billie Jean King в Ню Йорк за своето 143-то издание. Стотици играчи ще се борят за шампионския трофей и дял от наградния фонд от 65 милиона долара.

Как да намерите датата, на която вие (или някой друг) сте се присъединили към Facebook

Как да намерите датата, на която вие (или някой друг) сте се присъединили към Facebook

Знаете ли, че Facebook навърши 17 години през 2023 г. Времето лети и вашият Facebook акаунт може да е по-стар, отколкото си мислите.

Как да поправите грешката „Този ​​видеофайл не може да бъде възпроизведен (код на грешката: 102630)“

Как да поправите грешката „Този ​​видеофайл не може да бъде възпроизведен (код на грешката: 102630)“

Постоянно ли получавате

Как да анулирате абонамента си за Adobe

Как да анулирате абонамента си за Adobe

Абонаментът за Adobe Creative Cloud ви дава достъп до облачни инструменти, като Adobe Photoshop или Illustrator, за да изведете творческите си произведения на следващото ниво. Въпреки това, приложенията на Creative Cloud не винаги могат да ви помогнат с това, от което се нуждаете за определени проекти, а в днешно време имаме много алтернативи на Adobe, включително безплатни като Gimp.

Какво означава „Закачен“ в TikTok (и как да закачите видеоклипове/коментари)

Какво означава „Закачен“ в TikTok (и как да закачите видеоклипове/коментари)

Чували ли сте, че можете да „закачите“ видеоклипове или коментари в TikTok, но не сте сигурни какво точно означава това? Тук ще обясним функцията за закачване и как да я използвате в TikTok.

Забравена парола за HBO Max? Ето как да я нулирате и възстановите

Забравена парола за HBO Max? Ето как да я нулирате и възстановите

Запален гледач ли сте на HBO Max, но не можете да си спомните паролата си? Не се паникьосвайте.

Как да изключите режима за пестене на батерия на всяко устройство

Как да изключите режима за пестене на батерия на всяко устройство

Ако сте заредили устройството си достатъчно, че вече не ви е необходим режимът за пестене на батерията, или просто искате устройството ви да работи с максимален капацитет, лесно е да изключите режима за пестене на енергия на вашите устройства с Microsoft Windows 11, Windows 10, macOS, Android, iOS и iPadOS. Ще ви покажем как да направите това на вашия настолен компютър или мобилно устройство.

Как да поправите грешка C14A в Snapchat

Как да поправите грешка C14A в Snapchat

Опитвате се да влезете в акаунта си в Snapchat, само за да бъдете посрещнати със съобщение за грешка и код C14A. Сървърите на платформата може да не работят, което причинява проблеми с влизането навсякъде.

Как (косвено) да изключите прочетените разписки в Instagram

Как (косвено) да изключите прочетените разписки в Instagram

Instagram е популярна платформа за споделяне на снимки, видеоклипове и съобщения, но има един недостатък - нежелани взаимодействия. Може да искате малко спокойствие от съобщенията, които получавате, но ако отворите директно съобщение, подателят ще разбере, че сте го прочели веднага.