Díra v bashi, které si 20 let nikdo nevšiml

Root.cz, 26. 9. 2014

„Byla zveřejněna zpráva o kritické zranitelnosti nejpoužívanějšího linuxového shellu bash. A stejně jako nedávný Heartbleed je i tato chyba vzdáleně zneužitelná. Pojďme se podívat, jak může být chyba, označovaná jako Shellshock, v praxi zneužita a proč je potřeba aktualizovat bash podruhé,“ píše v úvodu svého textu na odborném portálu Root.cz Ondřej Caletka ze sdružení CESNET. Následuje technický popis celé situace (mimo jiné v něm Ondřej Caletka upozorňuje, že „netrvalo dlouho a po internetu se rozběhly první skeny, snažící se odhalit tuto zranitelnost, jeden takový zaznamenal i honeypot v síti CESNET“) a v závěru autor konstatuje, že „kromě možných zranitelností shellu jako takového je řádově vyšší obecný problém zranitelnosti nejrůznějších shellových skriptů. Není totiž vůbec jednoduché napsat složitější skript, který se bezpečně popere s libovolným vstupem, včetně vstupních dat obsahujících mezery, zpětná lomítka, dolary a uvozovky. Z toho důvodu se obecně doporučuje složitější problémy řešit raději v pokročilejších skriptovacích jazycích, jako jsou Python nebo Perl.“

Původní zdroj

Poslední změna: 4.10.2014