Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X

En alvorlig sårbarhed, der sammenlignes med Heartbleed, er spottet. Hullet bør lappes med det samme, lyder rådet fra sikkerhedseksperter.

25. september 2014 kl. 12.07

Kim Stensdal Teknologiredaktør

Twitter
@kimstensdal

En kritisk sårbarhed er opdaget i det meget anvendte værktøj Bash, der findes i både Linux- og Unix-distributioner og i Apples Mac OS X.

Det skriver sikkerhedssitet Threatpost, der kan fortælle at administratorer opfordres til at lappe hullet med det samme.

Kriminelle kan nemlig udnytte sårbarheden til at foretage et fjernangreb med onsindet kode via den Bash-shell, der findes i systemerne.

"Det er super simpelt, og alle versioner af Bash af sårbare," udtaler Josh Bressers, der er chef hos Red Hat, til Threatpost.

Red Hat har allerede udsendt opdateringer til sine Linux-distributioner, og man gør klogt i at få dem rullet ud, lyder anbefalingen.

"Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det," udtaler Josh Bressers.

Flere steder på nettet debatteres det, om helt almindelige Mac-brugere bør frygte Bash-sårbarheden. Apple har endnu ikke udsendt nogen opdatering eller information om Bash-sårbarheden.

Sammenligner med Heartbleed

Danske CSIS advarer også om sårbarheden, der ifølge virksomheden ikke bare kan findes populære operativsystemer og softwarepakker, men også i flere embedded devices og trådløse routere.

"Der er fundet en ekstremt alvorlig fejl i måden, hvorpå Bash under UNIX/Linux evaluerer særligt udformede variabler. En angriber kan fra et eksternt ståsted misbruge dette til at omgå restriktioner og afvikle shell kommandoer på et sårbart system," skriver CSIS.

"Et større antal services og applikationer samt Debian og andre Linux distributioner, er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering," lyder det videre.

"Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed."

"Den har fået tildelt CVE-ID: CVE-2014-6271 ("remote code execution through bash") og optræder i svært mange services og applikationer. Den er tilmed triviel at misbruge. Der er allerede Proof of Concept (PoC) kode i omløb, hvilket bringer denne sårbarhed i klassen "svært kritisk"."

CSIS anbefaler også, at man patcher med det samme eller som minimum erstatter Bash med en anden shell.

Læs også:

Værd at vide om Heartbleed: Fem ting der kan hjælpe dig

Kunstig intelligens

Microsoft på trapperne med nye autonom AI i Copilot: Vil kopiere open source-fænomenet OpenClaw - se her hvordan

Seneste nyt

|Vis seneste uge

Arbejdsmarked

Internationale tech-talenter dropper i stor stil Danmark: Især tre årsager får dem til at sige farvel og tak

AI-lab 2026

AI-lab #29: Mythos fra Anthropic er en milepæl i AI’s historie - eller en Code Red (panik-panik) alt efter, hvordan man lever sit liv

Priser

Microsoft hæver priserne på Surface med op til 50 procent

Kunstig intelligens

OpenAI klar med spritny og banebrydende konkurrent til Anthropics nye super-model

Læses lige nu

Processorer

Næste chip-offensiv fra Intel bliver yderst spændende: Op til 52 kerner

Annonce

Annonceindlæg tema

AI i bevægelse - forretning, agenter og potentiale

I dette særtema om aspekter af AI ser vi på skiftet fra sprogmodeller til AI-agenter, og hvordan virksomheder kan navigere i spændet mellem teknologisk hastighed og behovet for menneskelig kontrol.