«Linux» tipa operētājsistēmu ievainojamība «Shellshock» varētu būt sastopama aptuveni pusē pasaules serveru, tai pat laikā viedokļi par tās bīstamību dalās.
Viedokļi par «Shellshock» bīstamību dažādi; izplatība lēsta ap 50% pasaules serveru (25)
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
Lai arī pirms divām dienām uzietā ievainojamība uzskatāma par ārkārtīgi nopietnu, tomēr drošības ekspertu viedokļi par to nav viennozīmīgi. Paredzamā ievainojamo sistēmu izplatība precīzi nav zināma, jo papildus apzinātajiem tīmekļa serveriem «Linux» bāzes operētājsistēmas sastopamas arī dažādās iekārtās.
Šī gada augustā 51% pasaules tīmekļa serveru izmantoja «Apache» operētājsistēmu, kas ir bāzēta uz «Linux» un var saturēt «Shellshock» ievainojamību, teikts kompānijas «Netcraft» veiktajā statistikā, kas apzinājusi kopumā vairāk nekā miljardu serveru. Tas gan nenozīmē, ka visi no apzinātajiem serveriem var tikt pakļauti uzbrukumiem. Atkarībā no tā, kā serveri uzstādīti, to uzlaušanai var būt nepieciešams izmantot dažādas metodes, ja vispār tie satur minēto drošības nepilnību. «Visticamāk, ka lielākā daļa serveru nevarēs tikt uzlauzti attālināti,» kiberdrošības kompānijas «Rapid7» vietnē «Security street» norāda Džena Elisa, piebilstot, ka šādam uzbrukumam nepieciešami ļoti specifiski apstākļi.
Vairāki informācijas tehnoloģiju (IT) portāli jau paspējuši «Shellshock» nodēvēt par bīstamāku nekā aprīlī pamanīto «Heartbleed» ievainojamību, kas ieguva pamatīgu sabiedrības uzmanību. Tāpat arī vairāki drošības eksperti tās bīstamību novērtējuši ar desmit no desmit ballēm, piebilstot, ka šis incidents īpašs esot tieši ar to, ka tā izpausmes var būt ļoti daudzveidīgas.
Līdzīgi kā ar «Heartbleed» ievainojamību, arī šajā gadījumā par pamatīgu izaicinājumu ir kļuvušas dažādas ierīces, kas izmanto «Linux» bāzes operētājsistēmas. Apdraudēta var tikt arī ļoti svarīga tīkla un telekomunikāciju infrastruktūra, ja tai nav korekti uzstādītas pieejas privilēģijas. Tāpat šis gadījums arī izgaismo dažādas tā saucamā lietu interneta problēmas - savlaicīga atjauninājumu uzstādīšana daudzām ierīcēm var nebūt iespējama. Pusgadu pēc «Heartbleed» atklāšanas ievainojamo sistēmu skaits joprojām ir ievērojams.
Pagaidām arī nav ziņu, cik ilgi «Shellshock» ievainojamība varētu būt zināma. Drošības nepilnība «Bash» saskarnē teorētiski varētu būt vairāk nekā 25 gadus veca. Pirmā ļaunprogrammatūra, kas izmanto šo ievainojamību, parādījusies vakar, 25.septembrī.
Jau ziņots, ka atvērtā koda operētājsistēmas «Linux» lietotāja saskarnē «Bash» atrasta nopietna ievainojamība, ko atsevišķi informācijas tehnoloģiju (IT) drošības eksperti bīstamībā salīdzina ar «Heartbleed». To, ka drauds patiešām ir nopietns, apstiprina arī CERT.LV.
Patlaban ir iznākuši pirmie drošības ielāpi, kas daļēji novērš ievainojamību, tuvākajā laikā gaidāmi attiecīgi programmatūras atjauninājumi, kas problēmu novērsīs pilnībā.