01.10.2014 Экспертиза, БезопасностьЕще сильны в памяти волнения, связанные с открытием серьезной уязвимости под названием Heartbleed весной этого года. Тогда стало известно, что в результате ошибки переполнения буфера в криптографическом ПО OpenSSL возникает возможность несанкционированного доступа к памяти на сервере или клиенте. Какие данные могут попасть в скомпрометированный участок памяти, никто не контролирует: это могут быть как вполне безобидные значения переменных, так и код закрытого ключа безопасности сервера. Обнаруженная ошибка Heartbleed просуществовала в нераскрытом виде более двух лет, и тех, кто сумел ей воспользоваться, невозможно выявить даже сейчас. Но как оказалось, это было только начало. Опасность новой уязвимости, обнародованной в сентябре, оказалась еще более разрушительной, чем была у Heartbleed. Уязвимость получила название Shellshock (кодовое обозначение CVE-2014-6271), ей был присвоен наивысший, 10-й уровень опасности по открытой системе оценки уязвимостей CVSS. Масштабность последствий, причиной которых может стать данная уязвимость, трудно недооценить, потому что речь идет о командном интерпретаторе Bash, который широко применяется в различных модификациях и дистрибутивах Linux, Unix, Apple OS X, включая новейшую версию OS X Mavericks, а также Android. Уязвимость Shellshock распространяется на все версии интерпретатора, включая новейшую версию 4.3. Главная опасность Shellshock состоит в том, что она латентна до тех пор, пока кто-то ни решит, воспользовавшись ей, удаленно ...
читать далее.
