Уязвимость ShellShock опаснее Heartbleed
Исследователи считают, что ShellShock опаснее Heartbleed. И дело не только в том, что уязвимость присутствовала в bash около 22 лет. И не в том, что оперативно выпущенные апдейты не исправляют её. Главная проблема в том, насколько широко распространённым является этот баг и насколько богатые возможности для взлома он предоставляет. Уязвимы не только серверы и персональные компьютеры, но и маршрутизаторы, камеры видеонаблюдения и многие другие устройства. Огромное количество старых устройств так и не получит обновления.
В течение ближайших нескольких лет многие компьютеры под Linux и Mac OS всё ещё будут открыты для удалённого выполнения кода. Прошло почти полгода с момента обнаружения Heartbleed, но до сих пор не все системы пропатчены. Более того, возможно создание сетевого червя, который будет распространяться через CGI-скрипты.
Проверка компьютера на наличие уязвимости CVE-2014-6271 осуществляется, например, такой командой:
$ export evil='() { :;}; echo vulnerable’; bash -c echo;
Проверка скрипта CGI:
$ curl -i -X HEAD ‘http://ya.ru’ -A ‘() { :;}; echo «Server vulnerable»‘
Уязвимость в bash уже получила персональное имя: ShellShock. Таким образом, она стала второй уязвимостью в истории, удостоенной подобной чести.
Possibly Related Posts:
- Ставка только на Линукс — это ошибка
- В эфире Antimalware Live эксперты обсудят безопасную разработку
- II Всероссийская научная школа-семинар «Современные тенденции развития методов и технологий защиты информации»
- Кибербезопасность умных городов: вызовы, проблемы, решения
- XVI Международный форум по международной информационной безопасности
Эксперт сообщества Вадим Мезенцев
Выпускник кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана
Рубрика: информационная безопасность, Новости. Метки: shellshock. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.