CVE-2014-6271. Az átlag júzer mennyire van veszélyben?

Az Avast-al nem mész semmire, mert nem olyan bug, amit egy vírusirtóval kivédhetnél.

Kezdjük ott, hogy ez a probléma az operációs rendszer gyökerében van. Shell rétegben.

[link]

Jó...

De már a telefonod Unix alapú, amennyiben az okos kategóriába tartozik.

Szerverek 90%-a Linux (Unix-szerű) alapú. Ide beletartozik a webszolgáltatód, még az is ahol az e-maileidet tárolod. Valójában 80%-ban téged is érint, még ha közvetetten is.

Linux 1000x biztonságosabb mint a Windows. :) Ez a szép az OpenSource rendszerekben. Találnak hibát, kijavítják. Minél nagyobbat találnak, annál biztonságosabb lesz.

Persze a juzerek az egy külön állat faj. Hallottam olyanról is, hogy egy irodában lassúak voltak a gépek. Odament a rendszergazda, és kijavította. Igen ám, csak az irodisták a fontos dokumentumokat a lombtárba tették, mert ott gondolták: senki se fogja keresni. Jah, csak a rendszergazda azzal kezdte, hogy lobtár ürítés. :D Utána meg az irodisták keresték a fontos anyagokat, és látták a hűlt helyét. :D:D:D:D:D Juzerek... <3

A Windowsos géped nincs veszélyben.

A routered lehet, meg mondjuk a telefonod is valószínűleg.

Ahhoz hogy ezt a sebezhetőséget távolról ki lehessen használni, két dolog szükséges:

- a szerveren olyan CGI-szkript (vagy CGI-módban futó PHP-szkript), ami system() függvényen keresztül hív meg rendszerparancsokat

- Bash legyen az alapértelmezett parancsértelmező

(Openwrt-t futtató) routereken általában Busybox van parancsértelmezőként; az okostelefonokon meg általában nem fut webkiszolgáló (rendszerparancsokat futtató CGI szkripttel).

"ami system() függvényen keresztül hív meg rendszerparancsokat"

Nope, ez csak a PHP esetén érdekes.

A CGI scripteknél maguk a paraméterek (URL GET cuccok, böngésző User-Agent stb...) mind-mind átadódik környezeti változóban és ha ezeknek megfelelő adatot adsz meg, akkor le is fut bennük a kód.

Pont EZÉRT veszélyes nagyon ez a ShellShock cucc, mivel nem is kell gondatlannak lenni, elég ha a rendszer maga így működik.

"Nope, ez csak a PHP esetén érdekes. "

Meg sok más szerveroldali nyelvnél - lásd például a Perlt.

"Pont EZÉRT veszélyes nagyon ez a ShellShock cucc, mivel nem is kell gondatlannak lenni, elég ha a rendszer maga így működik."

Én úgy érzékelem - legalábbis a híradások és az arra történő reakciók tükrében - hogy kissé túl van "spilázva" a dolog: egyből előjön a "minden Linux sebezhető"/"az Androidos telefonok is"/"meg a routerek"/"az összes Linuxos webszerver"-sirálmok is; míg egy ilyen sérülékenység kihasználása azért több mindentől függ.

Igen több nyelv is, csak már lusta voltam átírni.

Na jah kicsit nagyobb a média visszhang, szvsz a heartbleed rosszabb volt. De azért ez is csúnya. Nem kicsit. A Bash túl sok helyen használt.