Tähelepanu süsteemiadministraatorid!
Kui haldad serverit, millele paigaldatud pakett Unix “koorikuga” (shell) Bash versiooninumbriga 3.0 ja 4.3 vahel (k.a), siis paigalda turvauuendused sellele serverile KOHE!
Bug-Description: Under certain circumstances, bash will execute user code while processing the environment for exported function definitions.
Selle lakoonilise kirjelduse tagant on esmapilgul raske välja lugeda võimalust rünnata võrgu kaudu süsteeme, kus käivitatakse /bin/bash. Siiski, üle võrgu on kõnealuse shelli nõrkuse ärakasutamine siiski võimalik – olgu selleks siis SSH terminal või /cgi-bin/ kaudu serveeritavad veebilehed. Viimane meetod ongi hetkel ära märgitud suurima ohuna.
CVE andmebaasis on veale antud number CVE-2014-6271, selle märksõna järgi on ka lihtsam otsida lisainfot enda hallatava Linux distributsiooni turvateadete nimistust, mõned toon siin ka ära:
- https://security-tracker.debian.org/tracker/CVE-2014-6271
- https://access.redhat.com/solutions/1207723
- http://www.ubuntu.com/usn/usn-2362-1/
Teateid OS X uuenduste kohta ootame.
Jõudu!
CERT-EE
SSH kasutajate jaoks on lshell väga hea.