آیا Bash bug بدتر از Heart bleed است؟

کاربران لینوکس دیروز، از اینکه تیم امنیت Redhat از باگ کوچک ولی بسیار خطرناکی در Bash shell – یکی از پرکاربردترین ابزار های لینوکس – پرده برداری کرد، متعجب شدند.

این ضعف امنیتی،  Bash bug یا Shellshock نام گرفته است. وقتی حمله به درستی انجام شود، این باگ به مهاجم این امکان را میدهد که بتواند به محض فراخوانی Bash، کد های مخرب خود را اجرا کند، به شکلی که جهت اجرای این کدها هیچ محدودیتی نداشته باشد و میتواند دسترسی کامل به سیستم داشته باشد

بدتر اینکه، این باگ در نرم افزارهای لینوکس enterprise برای مدت زیادی وجود داشته است، بنابراین patch کردن تمام موارد در عمل بسیار سخت و طولانی مدت است. ردهت و فدورا patch های لازم را برای بر طرف کردن این باگ منتشر کرده اند.

این باگ بر روی OSX نیز تاثیر داشته و هنوز شرکت سازنده هیچ راه حلی برای برطرف کردن این مشکل ارائه نکرده است. ولی در این پست Stack Exchange توضیح داده شده که کاربران Mac چطور میتوانند این باگ را در سیستم خود برطرف کنند.

آقای رابرت دیوید گراهام از شرکت Errata Security این باگ را با باگ Heartbleed  در زمینه اثر گذاری گسترده در دراز مدت، مقایسه کرده است. آقای گراهام در وبلاگشان نوشته اند: “درصد بالایی از نرم افزارها به طریقی با shell در تعامل هستند.” “ما هرگز نمیتوانیم تمام نرم افزارهایی که در خطر آسیب پذیری bash bug هستند را فهرست کنیم.” محقق ICSI  برکلی، نیکولاس ویور با این نظر موافق است و میگوید: “آن، کوچک و زشت است و سالها با ما خواهد ماند.”