Säkerhetshålet Shell Shock drabbar världens webbservrar

Säkerhetshålet Shell Shock drabbar världens webbservrar

Ett säkerhetshål i kommandotolken Bash kan utnyttjas för att snappa upp lösenord och exekvera kod, vilket lämnar en stor del av världens webbservrar sårbara.

bash_shell.png

När säkerhetshålet Heartbleed uppdagades tidigare under året sattes hela IT-världen i gungning. Nu uppdagas en ny allvarlig säkerhetsbrist och denna gång gäller det kommandotolken Bash, som används i de flesta Unix-lika operativsystem.

En webbserver som använder Bash för att exempelvis generera dynamiska sidor kan luras att exekvera kod med serverns användarprivilegier, vilket skulle kunna utnyttjas av angripare för att exempelvis snappa upp lösenord eller genomföra överbelastningsattacker.

En annan potentiell attack skulle kunna utföras om en klient med en sårbar version av Bash ansluter till en "elak" DHCP-server. Under vissa förhållanden skulle en preparerad server kunna sätta miljövariabler för Bash på anslutande klienter och därigenom exekvera godtycklig kod genom samma säkerhetshål.

När allmänheten informerades om säkerhetshålet släpptes även uppdateringar för de stora Linux-distributionerna, som rättar till bristen. I samband med detta upptäcktes dock nya säkerhetshål som kan utnyttjas på liknande sätt, vilket kommer att kräva ytterligare uppdateringar.

Det är inte heller enbart Linux-distributioner som är drabbade. Samma skal används i Apples operativsystem OS X och ibland även i Microsoft Windows, det sistnämnda med Cygwin eller liknande paket. Även dessa kommer att behöva uppdateras för att täppa till hålet.

För att skydda sig rekommenderas att inte använda några publikt åtkomliga tjänster som kallar på Bash och att i vanlig ordning se till att hålla systemen uppdaterade. Red Hat tillhandahåller en utförlig lista med lämpliga säkerhetsåtgärder i väntan på kommande säkerhetsuppdateringar.

Kommentarer till artikeln

64 debattinlägg

Skicka en rättelse
106

Test: Asus Radeon RX 480 Dual OC 4 GB och Palit Geforce GTX 1060 Dual 3 GB

Det blåser upp till storm i mellanklassen, där SweClockers testlabb blir arena för en sann grafikkortsbatalj mellan lågminnesvarianterna av Geforce GTX 1060 och Radeon RX 480. Läs mer

57

Battlefield 2142 återupplivas av fans

I år fyller Battlefield 2142 tio år och i samband med detta passar en grupp hängivna fans på att ge spelet nytt liv i form av en gratisversion med fungerande servrar. Läs mer

15

Titanfall 2 får systemkrav

En av höstens stora förstapersonstitlar Titanfall 2 släpps nästa månad. Förutom konsol kommer även spelet till PC/Windows och utvecklarna meddelar nu kraven för plattformen. Läs mer

15

In Win släpper nätaggregaten Classic Series med 80 Plus Platinum

Med hög verkningsgrad i fokus sjösätter In Win två nya nätaggregat i Classic Series på 750 och 900 W, där båda är fullt modulära och levereras med 80 Plus Platinum-certifiering. Läs mer

46

Yahoo: "500 miljoner e-postkonton på vift efter dataintrång"

Internetgiganten Yahoo går nu ut med att hela 500 miljoner e-postkonton är på vift efter ett intrång, som beskrivs som ett av de största någonsin. Läs mer

39

Test: Zowie EC1-A och EC2-A

Danska Zowie gör ett besök i testlabbet med spelmössen EC1-A och EC2-A, där fokus hamnar på E-sport och seriöst spelande. Häng med till testlabbet för en ordentlig genomgång. Läs mer

22

Testpilot: Corsair MM800 RGB Polaris

För den som gillar disco och att sticka ut har testpiloten "TheMadPanda" tagit en närmare titt på Corsairs LED-belysta musmatta MM800 RGB Polaris. Läs mer

17

Resident Evil 7: Biohazard får systemkrav

Nästa del i Resident Evil-serien släpps inte förrän i januari nästa år, men redan nu släpper utvecklaren Capcom systemkrav för spelet. Läs mer

22

Scythe tillkännager CPU-kylaren Byakko

För kompakta datorbyggen sjösätter Scythe den nya tornkylaren Byakko, som utöver relativt små mått har en asymmetrisk design för att inte ta i RAM-minnena. Läs mer

51

Blizzard byter namn på Battle.net

Blizzard ska under de kommande månaderna byta namn på välkända Battle.net. Syftet är att få alla tjänster under samma varumärke. Läs mer

31

AMD och Nvidia släpper drivrutiner med optimeringar för Forza Horizon 3

Nytt spelsläpp innebär nya drivrutiner från grafikkortstillverkarna Nvidia och AMD. Denna gång handlar det om optimeringar för Forza Horizon 3 som inom kort släpps till PC/Windows. Läs mer

26

EU slopar planer om begränsad roaming

Efter skarp kritik slopar EU planerna om begränsad roaming inom EU-länderna. För att förhindra missbruk ska istället operatörer kunna flagga för detta och lägga på extra kostnader. Läs mer