Säkerhetshålet Shell Shock drabbar världens webbservrar

Säkerhetshålet Shell Shock drabbar världens webbservrar

Ett säkerhetshål i kommandotolken Bash kan utnyttjas för att snappa upp lösenord och exekvera kod, vilket lämnar en stor del av världens webbservrar sårbara.

bash_shell.png

När säkerhetshålet Heartbleed uppdagades tidigare under året sattes hela IT-världen i gungning. Nu uppdagas en ny allvarlig säkerhetsbrist och denna gång gäller det kommandotolken Bash, som används i de flesta Unix-lika operativsystem.

En webbserver som använder Bash för att exempelvis generera dynamiska sidor kan luras att exekvera kod med serverns användarprivilegier, vilket skulle kunna utnyttjas av angripare för att exempelvis snappa upp lösenord eller genomföra överbelastningsattacker.

En annan potentiell attack skulle kunna utföras om en klient med en sårbar version av Bash ansluter till en "elak" DHCP-server. Under vissa förhållanden skulle en preparerad server kunna sätta miljövariabler för Bash på anslutande klienter och därigenom exekvera godtycklig kod genom samma säkerhetshål.

När allmänheten informerades om säkerhetshålet släpptes även uppdateringar för de stora Linux-distributionerna, som rättar till bristen. I samband med detta upptäcktes dock nya säkerhetshål som kan utnyttjas på liknande sätt, vilket kommer att kräva ytterligare uppdateringar.

Det är inte heller enbart Linux-distributioner som är drabbade. Samma skal används i Apples operativsystem OS X och ibland även i Microsoft Windows, det sistnämnda med Cygwin eller liknande paket. Även dessa kommer att behöva uppdateras för att täppa till hålet.

För att skydda sig rekommenderas att inte använda några publikt åtkomliga tjänster som kallar på Bash och att i vanlig ordning se till att hålla systemen uppdaterade. Red Hat tillhandahåller en utförlig lista med lämpliga säkerhetsåtgärder i väntan på kommande säkerhetsuppdateringar.

Kommentarer till artikeln

64 debattinlägg

Skicka en rättelse
18

Testpilot: MSI Z170A Gaming M7

MSI satsar på mängder av finesser och lätta överklockningsfunktioner med sitt moderkort Z170A Gaming M7. Testpiloten David Rönnlund sätter tänderna i modellen och ser vad den går för. Läs mer

23

Nvidia förbereder Geforce GTX 1060 3 GB med grafikkretsen GP104

Defekta grafikkretsar som inte håller måttet för Geforce GTX 1080 och GTX 1070 ska användas till 3 GB-varianten av GTX 1060. Det här framgår av en ny ID-slinga i Nvidias senaste drivrutiner. Läs mer

30

Seagate lanserar portabla hårddiskar under varumärket Maxtor

Efter att för ett antal år sedan lagt ned varumärket Maxtor återupplivas det nu av Seagate. Maxtor tar över Seagates budgetsegment av portabla hårddiskar efter Samsung. Läs mer

Spelpaket med Omen by HP samt mus och hörlurar

  • igår 12:00

Geeks Julkalender fortsätter, och när femte luckan öppnas avslöjas ett förmånligt erbjudande från HP innehållande en bärbar speldator, mus och hörlurar. Läs mer

21

HTML5 blir standard i Google Chrome

Google är ett av många företag som börjat överge Flash för att övergå till HTML5 och nu blir den sistnämnda standard i företagets webbläsare Chrome. Läs mer

14

AVOID av "timpelay"

På finalen av Cooler Master Casemod Championship på Dreamhack Winter 2016 kom det farliga bygget Avoid på en hedervärd fjärdeplats. Spana in bygget i SweClockers galleri! Läs mer

27

Direkt från Kappa Bar med Geeks Gaming

Spelsällskapet Geeks Gaming intar Kappa Bar för häng och god mat. Givetvis direktsänds hela kvällen, och gänget uppdaterar löpande med bilder. Läs mer

42

Test: Corsair Crystal 570X RGB

Corsair storsatsar på konceptet härdat glas och flerfärgsbelysning med sitt nya chassi Crystal 570X RGB. Modellen tar idag plats i SweClockers testlabb för en rejäl videogenomgång. Läs mer

55

SSD-priser väntas fortsätta stiga på grund av minnesbrist

På grund av komponentbrist och ökad efterfrågan väntas priserna på SSD-enheter öka, vissa med så mycket som 20 procent. Bristen tros hålla i sig ända till slutet av nästa år. Läs mer

73

Amazon lanserar Snowmobile – tjänst för att flytta stora mängder data via långtradare

Amazons nya tjänst gör det möjligt för företag att flytta upp till 100 PB data åt gången till deras molntjänster, vilket görs genom att den fraktas i 14 meter långa långtradare. Läs mer

10

Gött häng med Geeks Gaming på Kappa Bar

Det vankas stream i annorlunda tappning med Geeks Gaming. På lördag besöker gänget e-sportbaren Kappa Bar i Göteborg, och givetvis blir det en helkväll med direktsändning på Twitch. Läs mer

45

Mass Effect: Andromeda visar grafikmuskler

Nästa år väntar ett nytt äventyr i Mass Effect-universumet där Andromedagalaxen står som spelplan. Nu visar Bioware och EA för första gången ett videoklipp från själva spelet. Läs mer