Säkerhetshålet Shell Shock drabbar världens webbservrar

Säkerhetshålet Shell Shock drabbar världens webbservrar

Ett säkerhetshål i kommandotolken Bash kan utnyttjas för att snappa upp lösenord och exekvera kod, vilket lämnar en stor del av världens webbservrar sårbara.

bash_shell.png

När säkerhetshålet Heartbleed uppdagades tidigare under året sattes hela IT-världen i gungning. Nu uppdagas en ny allvarlig säkerhetsbrist och denna gång gäller det kommandotolken Bash, som används i de flesta Unix-lika operativsystem.

En webbserver som använder Bash för att exempelvis generera dynamiska sidor kan luras att exekvera kod med serverns användarprivilegier, vilket skulle kunna utnyttjas av angripare för att exempelvis snappa upp lösenord eller genomföra överbelastningsattacker.

En annan potentiell attack skulle kunna utföras om en klient med en sårbar version av Bash ansluter till en "elak" DHCP-server. Under vissa förhållanden skulle en preparerad server kunna sätta miljövariabler för Bash på anslutande klienter och därigenom exekvera godtycklig kod genom samma säkerhetshål.

När allmänheten informerades om säkerhetshålet släpptes även uppdateringar för de stora Linux-distributionerna, som rättar till bristen. I samband med detta upptäcktes dock nya säkerhetshål som kan utnyttjas på liknande sätt, vilket kommer att kräva ytterligare uppdateringar.

Det är inte heller enbart Linux-distributioner som är drabbade. Samma skal används i Apples operativsystem OS X och ibland även i Microsoft Windows, det sistnämnda med Cygwin eller liknande paket. Även dessa kommer att behöva uppdateras för att täppa till hålet.

För att skydda sig rekommenderas att inte använda några publikt åtkomliga tjänster som kallar på Bash och att i vanlig ordning se till att hålla systemen uppdaterade. Red Hat tillhandahåller en utförlig lista med lämpliga säkerhetsåtgärder i väntan på kommande säkerhetsuppdateringar.

Kommentarer till artikeln

64 debattinlägg

Skicka en rättelse
39

Inga DLC-paket för Mass Effect: Andromeda

Efter en lång tids radiotystnad tar Bioware bladet från munnen och bekräftar att det inte blir några DLC-paket till Mass Effect: Andromeda. Samtidigt meddelas att inga fler uppdateringar är att vänta. Läs mer

34

Medlem bygger väggmonterad dator i Galleriet

Medlemmen "johan32" bygger dator i chassi från Thermaltake, dock med en något unik twist. Läs mer

11

Fredagspanelen 138: Ryzen Threadripper, Radeon RX Vega och Intel Coffee Lake

Fredagspanelen är tillbaka efter sommaruppehållet, med mängder av godis från AMD:s lansering av Ryzen Threadripper och Radeon RX Vega samt Intels stundande utrullning av Coffee Lake. Läs mer

418

AMD kör fult spel med prissättningen av Radeon RX Vega 64

Kort efter att Radeon RX Vega 64 hittat ut i butik höjdes priserna rejält, men redan innan misstänkte redaktionen att någonting inte stod rätt till när AMD aviserade den svenska prislappen. Läs mer

21

SweClockers firar skolstarten med gratis annonsering i Marknad

Som det gamla ordspråket säger; efter sommar kommer skolgång. För att hjälpa teknikälskande studenter på traven bjuder SweClockers under hela helgen på gratis annonsering. Läs mer

26

Quake Champions släpps i Early Access 22 augusti

Den PC-exklusiva actionskjutaren Quake Champions väntas släppas på riktigt först senare under året, men lanseras redan senare under månaden i en Early Access-version via Steam. Läs mer

8

Alphacool visar vattenblock för AMD Ryzen Threadripper

För entusiaster som vill få ut det mesta ur sina AMD Ryzen Threadripper-processorer släpper Alphacool vattenblocket Eisblock Flatboy, skräddarsytt för sockel TR4. Läs mer

42

Test: Fractal Design Meshify C

Fractal Design skiftar fokus från tystnad till högt luftflöde med den nya chassiserien Meshify, där premiärmodellen Meshify C tar plats i SweClockers testlabb för en ordentlig genomgång. Läs mer

213

Intel: "Core i7-8700K är 51 procent snabbare än Core i7-7700K"

Efter en utbildning för återförsäljare läcker Intels officiella prestandasiffror för Coffee Lake ut på webben, där fler kärnor resulterar i rejäla prestandaökningar mot dagens Kaby Lake. Läs mer

74

HMD tillkännager flaggskeppstelefonen Nokia 8

Telefontillverkaren HMD har tidigare under året lanserat smarta telefoner märkta Nokia. Dessa telefoner har främst varit riktade till budgetsegmentet, men nu presenteras flaggskeppet Nokia 8. Läs mer

31

Alphacool tillkännager sluten vattenkylning och vattenblock för AMD Radeon RX Vega

För de som inte nöjer sig med luftkylning presenterar nu Alphacool sluten vattenkylning och vattenblock anpassade för Radeon RX Vega. Läs mer

10

Nvidia släpper 4K-trailer för Destiny 2 inför den öppna betan

Inför att det öppna betatestet av Destiny 2 för PC/Windows går av stapeln släpper Nvidia en trailer riktad mot PC-spelare, i 4K UHD-upplösning och 60 FPS. Läs mer