Säkerhetshålet Shell Shock drabbar världens webbservrar

Säkerhetshålet Shell Shock drabbar världens webbservrar

Ett säkerhetshål i kommandotolken Bash kan utnyttjas för att snappa upp lösenord och exekvera kod, vilket lämnar en stor del av världens webbservrar sårbara.

bash_shell.png

När säkerhetshålet Heartbleed uppdagades tidigare under året sattes hela IT-världen i gungning. Nu uppdagas en ny allvarlig säkerhetsbrist och denna gång gäller det kommandotolken Bash, som används i de flesta Unix-lika operativsystem.

En webbserver som använder Bash för att exempelvis generera dynamiska sidor kan luras att exekvera kod med serverns användarprivilegier, vilket skulle kunna utnyttjas av angripare för att exempelvis snappa upp lösenord eller genomföra överbelastningsattacker.

En annan potentiell attack skulle kunna utföras om en klient med en sårbar version av Bash ansluter till en "elak" DHCP-server. Under vissa förhållanden skulle en preparerad server kunna sätta miljövariabler för Bash på anslutande klienter och därigenom exekvera godtycklig kod genom samma säkerhetshål.

När allmänheten informerades om säkerhetshålet släpptes även uppdateringar för de stora Linux-distributionerna, som rättar till bristen. I samband med detta upptäcktes dock nya säkerhetshål som kan utnyttjas på liknande sätt, vilket kommer att kräva ytterligare uppdateringar.

Det är inte heller enbart Linux-distributioner som är drabbade. Samma skal används i Apples operativsystem OS X och ibland även i Microsoft Windows, det sistnämnda med Cygwin eller liknande paket. Även dessa kommer att behöva uppdateras för att täppa till hålet.

För att skydda sig rekommenderas att inte använda några publikt åtkomliga tjänster som kallar på Bash och att i vanlig ordning se till att hålla systemen uppdaterade. Red Hat tillhandahåller en utförlig lista med lämpliga säkerhetsåtgärder i väntan på kommande säkerhetsuppdateringar.

Kommentarer till artikeln

64 debattinlägg

Skicka en rättelse
6

Intel "Coffee Lake" och styrkretsen Z370 lanseras fjärde kvartalet 2017

Den åttonde generationens Core-processorer "Coffee Lake" släpps i slutet av året och får sällskap av styrkretsen Z370. Uppgifter till SweClockers talar dock om att generationen kan bli kortlivad. Läs mer

17

Test: Philips Brilliance BDM4037UW – enorm 40-tumsskärm med VA-panel

Stora och rymliga 4K-skärmar för skrivbord är en spännande nisch där Philips är kända sedan länge. Med modellen BDM4037UW har företaget en intressant och smetig historia att berätta. Läs mer

35

Samsung 850 Pro kastar in handduken efter 9 100 skrivna terabyte

I ett större test av SSD-enheters hållbarhet vid går Samsungs populära 850 Pro vinnande ur striden, där den inte gav upp förrän efter 9 100 terabyte skriven data. Läs mer

12

Toshiba först med QLC NAND med fyra bitar data per minnescell

Trots fortsatt skepsis kring för TLC går Toshiba ut med att de är på gång med QLC-flashminne, där fyra bitar data per minnescell borgar för höga kapaciteter i såväl SSD-enheter som telefoner. Läs mer

19

Biostar lanserar TB250-BTC PRO – utrustas med tolv PCI Express

I och med den ökande populariteten för "mining" av kryptovalutor släpper Biostar ett nytt LGA 1151-moderkort med hela tolv PCI Express-anslutningar. Läs mer

28

Spelbiblioteket för SNES Classic Edition skiljer sig mellan regionerna

En uppföljare till förra årets krympta variant av NES nalkas i form av SNES Classic Edition och nu framgår det att konsolens spelbibliotek inte ser likadant ut i alla regioner. Läs mer

24

NVMe-standarden för SSD-enheter får rejäl uppgradering

Specifikationen bakom NVM Express får sin första uppgradering på tre år, där majoriteten av nyheterna berör främst virtualisering av SSD-lagring i serverhallar. Läs mer

25

Inncable är Android-dator integrerad i en nätverkskabel

Hotellbranschen brottas ständigt med ny teknik. Nu tar företaget Innspire sikte på TV-apparater där nya Inncable ska göra hotellens TV-apparater smarta. Läs mer

17

Nintendo gör fler SNES Classic Edition än minivarianten av NES

Inför lanseringen av SNES Classic Edition lovar Nintendo att tillverka fler enheter än tidigare NES Classic Edition, men antyder samtidigt att även denna kan få en kort livscykel. Läs mer

20

Mionix lanserar Wei med RGB-belysning

Det svenska företaget Mionix som specialiserar sig på kringutrustning släpper nu sitt första tangentbord med RGB-belysning – Mionix Wei. Läs mer

65

EU dömer Google till rekordböter

Den europeiska kommissionen dömer Google till rekordböter i miljardklassen. Samtidigt åläggs bolaget ändra i sina sökalgoritmer för att inte missgynna konkurrerande tjänster. Läs mer

27

Call of Duty: Modern Warfare Remastered släpps i fristående version

Efter att ursprungligen ha sålts ihop med Call of Duty: Infinite Warfare i påkostade utgåvor släpps Call of Duty: Modern Warfare Remastered i en fristående version. Läs mer