Bash bug fix

Frissítést adott ki az Apple a Bash bug javítására

#HÍREK
2014. 09. 30.
Pár napja röppent fel a hír, hogy a UNIX rendszer egyik alapvető szoftverében, a Bash-ben óriási bugot találtak, aminek segítéségével egy gyakorlott felhasználó elviekben átvehette a sebezhető gépek felett az irányítást. Mivel az OS X egy szabvány UNIX operációs rendszer, így más operációs rendszerek mellett ezt is érinti a hiba.

Sokan figyelmeztettek, hogy a Shellshock néven is emlegetett Bash bug még a Heartbleednél is nagyobb veszélyt jelent a felhasználók számára. Az Apple nem sokkal később kiadott egy közleményt, melyben megnyugtatják a felhasználókat, hogy normál esetben nem sebezhető a Mac számítógépük, mivel a távoli elérés alapértelmezésben ki van kapcsolva OS X-ben:

Az OS X-felhasználók nagy többsége nincs kockázatnak kitéve a nemrég felfedezett Bash-sebezhetőség miatt. A Bash egy UNIX parancssoros felület, mely része az OS X-nek is. A most felfedezett hiba miatt jogosulatlan személyek is távolról irányíthatják a sebezhető rendszereket. Alapértelmezett beállítások esetén az OS X biztonságos és nincs kitéve a támadásoknak addig, amik a felhasználó nem állít be haladó UNIX-beállításokat. A haladó UNIX-felhasználóink számára hamarosan kiadunk egy frissítést.

A gyakorlatban egyébként ez azt jelenti, hogy alapértelmezésben a távoli kapcsolat le van tiltva OS X-ben. Ha a System Preferencesben a Sharing beállításokban bekapcsoltuk a Remote Login funkciót, akkor viszont sebezhetővé vált a számítógépünk, illetve abban az esetben is, ha mondjuk valamilyen alkalmazás például egy webszervert futtatott a háttérben, szóval az Apple állítása picit azért leegyszerűsítette a képletet, bár az igaz, hogy a bugot kihasználó konkrét támadásról nem érkezett még hír.

Azt, hogy sebezhető-e a számítógépünk, az alábbi módon tesztelhetjük: nyissuk meg a  Terminal alkalmazást (a legegyszerűbb elkezdeni begépelni a nevét a Spotlightba), majd írjuk/másoljuk be az alábbi sort:

env x='() { :;}; echo sebezheto' bash -c 'echo hello';

Ha az eredmény hasonló a lenti képen láthatóhoz, akkor az operációs rendszerünk sebezhető a fent vázolt körülmények teljesülése esetén, ezért mindenképp telepítsük a javítást.

Bash bug

A Bash bug vagy Shellshock egyébként hosszú távon nem is az asztali operációs rendszerekre és egyéb frissíthető eszközökre nézve jelenthet veszélyt, hanem a sok olyan készülékre, amin nem lehet frissíteni a gyári UNIX/Linux-alapú operációs rendszert, vagy a gyártó már nem fejleszti az eszközt, szóval én nem tartom kizártnak, hogy azért a jövőben érkezhetnek hírek elszabadult porszívókról és garázskapukról.

Kézzel eddig is lehetett javítani a hibát ha telepítettük az Xcode-ot, ma azonban egy sokkal egyszerűbb megoldást adott az Apple. A honlapjukról letölthetjük a Bash bug biztonsági rést befoltozó frissítést OS X Mavericks, Mountain Lion és Lion operációs rendszerekre. A telepítéshez mindhárom rendszer esetén a legfrissebb verzióval kell rendelkeznünk, tehát ha valaki még nem tette fel a nemrég megjelent OS X Mavericks 10.9.5-ös update-et, akkor most eljött az idő.

A Bush bug/Shellshock hiba kijavítását szolgáló patch-et tehát érdemes minden felhasználónak telepíteni. A javítás az alábbi linkeken érhető el az Apple honlapjáról:

• OS X bash Update 1.0 – OS X Mavericks
• OS X bash Update 1.0 – OS X Mountain Lion
• OS X bash Update 1.0 – OS X Lion

A telepítés menete rendkívül egyszerű. Kattintsunk duplán a letöltött .dmg kiterjesztésű fájlra (ha rendes, biztonságra valamit is adó felhasználóként kikapcsoltuk a Safari alapbeállítását, vagyis hogy automatikusan megnyissa a letöltött fájlokat – ha nem, akkor már fel is csatolódott a lemezkép). A lemezkép felcsatolása után szintén kattintsunk duplán a benne található .pkg kiterjesztésű fájlra, innen egy egyszerű Next-Next-Finish telepítés veszi kezdetét a lincencszerződés elfogadásával és a jelszavunk megadásával fűszerezve.

Forrás: 9to5Mac.