Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X

En alvorlig sårbarhed, der sammenlignes med Heartbleed, er spottet. Hullet bør lappes med det samme, lyder rådet fra sikkerhedseksperter.

En kritisk sårbarhed er opdaget i det meget anvendte værktøj Bash, der findes i både Linux- og Unix-distributioner og i Apples Mac OS X.

Det skriver sikkerhedssitet Threatpost, der kan fortælle at administratorer opfordres til at lappe hullet med det samme.

Kriminelle kan nemlig udnytte sårbarheden til at foretage et fjernangreb med onsindet kode via den Bash-shell, der findes i systemerne. 

"Det er super simpelt, og alle versioner af Bash af sårbare," udtaler Josh Bressers, der er chef hos Red Hat, til Threatpost.

Red Hat har allerede udsendt opdateringer til sine Linux-distributioner, og man gør klogt i at få dem rullet ud, lyder anbefalingen.  

"Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det," udtaler Josh Bressers.

Flere steder på nettet debatteres det, om helt almindelige Mac-brugere bør frygte Bash-sårbarheden. Apple har endnu ikke udsendt nogen opdatering eller information om Bash-sårbarheden.   

Sammenligner med Heartbleed
Danske CSIS advarer også om sårbarheden, der ifølge virksomheden ikke bare kan findes populære operativsystemer og softwarepakker, men også i flere embedded devices og trådløse routere.

"Der er fundet en ekstremt alvorlig fejl i måden, hvorpå Bash under UNIX/Linux evaluerer særligt udformede variabler. En angriber kan fra et eksternt ståsted misbruge dette til at omgå restriktioner og afvikle shell kommandoer på et sårbart system," skriver CSIS.

"Et større antal services og applikationer samt Debian og andre Linux distributioner, er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering," lyder det videre.

"Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed." 

"Den har fået tildelt CVE-ID: CVE-2014-6271 ("remote code execution through bash") og optræder i svært mange services og applikationer. Den er tilmed triviel at misbruge. Der er allerede Proof of Concept (PoC) kode i omløb, hvilket bringer denne sårbarhed i klassen "svært kritisk"."

CSIS anbefaler også, at man patcher med det samme eller som minimum erstatter Bash med en anden shell.



Læs også:

Værd at vide om Heartbleed: Fem ting der kan hjælpe dig



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Kompetera A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få mere fart på og kvalitet i udviklingsafdelingen med DevOps

Få indsigt i den populære DevOps-tankegang, der kendetegner den moderne it-organisation, hvor samarbejde og integration er nogle af nøgleordene. Kom og hør konkrete cases fra virksomheder, der arbejder efter DevOps og mød de førende leverandører, der fortæller, hvordan du kommer derhen, hvor udviklingsafdelingen kan understøtte den digitale innovation med de ideer og i det tempo, som der forventes.

30. maj 2017 | Læs mere


Dropbox partnerdag 2017

Det er en fornøjelse at præsentere en ny stor forretningsmulighed med Dropbox Business. På partnerdag får I indsigt i både kommercielle og tekniske aspekter ved at sælge Dropbox Business. Arrangementet henvender sig til både eksisterende Dropbox-forhandlere i Danmark og til jer, der leder efter nye forretningsmuligheder, og som overvejer at blive Dropbox-forhandler.

31. maj 2017 | Læs mere


Business intelligence - den nye bølge: Få styr på de nye løsninger og alle mulighederne

En ny bølge af af moderne BI-løsninger og -produkter skaber helt nye muligheder. Vi sætter fokus på den nye BI-bølge.

07. juni 2017 | Læs mere






CIO
Bliv klar til EU-persondataforordningen: Ministerium klar med længe ventet dansk vejledning til den nye EU-lov
Justitsministeriet er efter en måneds forsinkelse klar med den store vejledning til EU's kommende persondataforordning, der kommer til at få konsekvenser for alle danske virksomheder. Se vejledningen her.
Comon
Ups - kontroversiel funktion kan afsløre utro Tinder-brugere
En funktion i den populære dating-app Tinder kan betyde, at du uforvarende kommer til at afsløre din dating-profil.
Job & Karriere
Dansk it-firma masseansætter: Skal bruge 90 nye medarbejdere med disse it-profiler
It-virksomheden BEC skal bruge 90 nye it-medarbejdere. Her kan du se de konkrete it-profiler, BEC er på udkig efter.
White paper
Undersøgelse af kritiske anlæg
I 2015 afsluttede Coromatic Group en undersøgelse af kritiske anlæg, der dækkede årene 2000-2013. Undersøgelsen omfattede det nordiske hospitalsmarked og dets afhængighed af to virksomhedskritiske funktioner, strømforsyning og kommunikationsteknologi, under hensyntagen til den øgede mængde af data, der behandles i forskellige systemer.