Søg

Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X

En alvorlig sårbarhed, der sammenlignes med Heartbleed, er spottet. Hullet bør lappes med det samme, lyder rådet fra sikkerhedseksperter.

25. september 2014 kl. 12.07
Artikel top billede
Kim Stensdal Kim Stensdal Teknologiredaktør

En kritisk sårbarhed er opdaget i det meget anvendte værktøj Bash, der findes i både Linux- og Unix-distributioner og i Apples Mac OS X.

Det skriver sikkerhedssitet Threatpost, der kan fortælle at administratorer opfordres til at lappe hullet med det samme.

Kriminelle kan nemlig udnytte sårbarheden til at foretage et fjernangreb med onsindet kode via den Bash-shell, der findes i systemerne. 

"Det er super simpelt, og alle versioner af Bash af sårbare," udtaler Josh Bressers, der er chef hos Red Hat, til Threatpost.

Red Hat har allerede udsendt opdateringer til sine Linux-distributioner, og man gør klogt i at få dem rullet ud, lyder anbefalingen.  

"Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det," udtaler Josh Bressers.

Flere steder på nettet debatteres det, om helt almindelige Mac-brugere bør frygte Bash-sårbarheden. Apple har endnu ikke udsendt nogen opdatering eller information om Bash-sårbarheden.   

Sammenligner med Heartbleed

Danske CSIS advarer også om sårbarheden, der ifølge virksomheden ikke bare kan findes populære operativsystemer og softwarepakker, men også i flere embedded devices og trådløse routere.

"Der er fundet en ekstremt alvorlig fejl i måden, hvorpå Bash under UNIX/Linux evaluerer særligt udformede variabler. En angriber kan fra et eksternt ståsted misbruge dette til at omgå restriktioner og afvikle shell kommandoer på et sårbart system," skriver CSIS.

"Et større antal services og applikationer samt Debian og andre Linux distributioner, er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering," lyder det videre.

"Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed." 

"Den har fået tildelt CVE-ID: CVE-2014-6271 ("remote code execution through bash") og optræder i svært mange services og applikationer. Den er tilmed triviel at misbruge. Der er allerede Proof of Concept (PoC) kode i omløb, hvilket bringer denne sårbarhed i klassen "svært kritisk"."

CSIS anbefaler også, at man patcher med det samme eller som minimum erstatter Bash med en anden shell.



Læs også:

Værd at vide om Heartbleed: Fem ting der kan hjælpe dig

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Årets CIO 2026

    Event: Årets CIO 2026

    Andre events | Kongens Lyngby

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    4 juni 2026 | Gratis deltagelse

    Konkurrence- og Forbrugerstyrelsen

    Webteknisk koordinator til Konkurrence- og Forbrugerstyrelsen (tidsbegrænset stilling)

    Københavnsområdet

    Indenrigs- og Sundhedsministeriet

    IT/AI-projektleder til Indenrigs- og Sundhedsministeriets departement

    Københavnsområdet

    Udlændinge- og Integrationsministeriet

    Datateknikerelever med speciale i infrastruktur til Koncern It i Udlændingestyrelsen

    Københavnsområdet

    DHI A/S

    Senior Backend Developer

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. februar 2026 ansat Henrik Mejnhardt Nielsen som ny kollega til Product Sales Teamet i Herlev. Han kommer fra en stilling som Business Development Manager hos Arrow. Nyt job

    Henrik Mejnhardt Nielsen

    Netip A/S

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Renewtech ApS har pr. 15. marts 2026 ansat Per Forberg som Account Manager for Sustainable Relations. Han skal især beskæftige sig med etablere nye partnerskaber med henblik på ITAD og sourcing kontrakter med hostingvirksomheder og strategiske slutbrugere. Han kommer fra en stilling som Nordic Key Account Manager hos Tesa. Han er uddannet hos Lund University og har en MBA i Management. Han har tidligere beskæftiget sig med at styrke salgsaktiviteter og partnerskaber på tværs af nordiske markeder. Nyt job

    Per Forberg

    Renewtech ApS

    Khaled Zamzam, er pr. 1. marts 2026 ansat hos Immeo som Consultant. Han er nyuddannet i Informationsteknologi fra DTU. Nyt job

    Khaled Zamzam

    Immeo

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Thorborg dropper omstridt AI-funktion: "Jeg skal ikke nyde noget af, at de kommer på besøg igen"
    2 It-leverandør forlanger millioner af kroner af Region Syddanmark for ulovlig software-brug
    3 Anthropic vil frigive Mythos-lignende model til alle – hævder at have fundet 10.000 sårbarheder på en måned 
    4 Låst til amerikansk leverandør: Så meget skal TV 2-regionerne betale for at forny licenser
    5 Da CEO'en kom hjem fra Harvard, blev AI-satset lagt på Peter Cabellos bord: SAS gik fra 25 idéer til fem big bets
    6 Sådan får du din egen AI-maskine til rimelige penge
    7 Han er nomineret til Årets CIO: "Vi har i dag en AI-adoption på 89 procent. Det er et helt vanvittigt tal"
    8 EU på vej med gigantbøde til Google: Bliver den største af sin slags efter ny tech-lov

    Se seneste uge