นับแต่ไม่กี่ชั่วโมงที่ผ่านมาหลังมีการพบ ช่องโหว่ร้ายแรงใน Bash ที่เรียกกันเล่นๆ ว่า "ShellShock" ซึ่งว่ากันว่าร้ายแรงกว่า HeartBleed อันมีผลทำให้ผู้ใช้ UNIX ทุกรุ่นตกอยู่ในความเสี่ยง จนทำให้ หลายฝ่ายเร่งออกแพตช์มาแก้ไขปัญหา เว้นแต่ฝั่ง Apple ที่ยังคงสงวนท่าที (แม้ 2 ระบบปฏิบัติการของ Apple อย่าง iOS และ OS X ก็ตกอยู่ในข่ายมีความเสี่ยงด้วย)
ล่าสุด SlashGear ได้อ้างว่ามีอีเมลจากทาง Apple ถูกส่งมาเพื่อชี้แจงว่าผู้ใช้ OS X ไม่จำเป็นต้องหวั่นกลัวว่าจะเจอปัญหาจากวิกฤต Shellshock นี้ โดยมีใจความว่า
ผู้ใช้ OS X ส่วนใหญ่นั้นปราศจากความเสี่ยงจากช่องโหว่ของ bash ที่มีการรายงานข่าวไปเมื่อไม่นานมานี้ โดย bash ซึ่งเป็นคำสั่งเชลล์ของ UNIX และเป็นภาษาที่ใช้ใน OS X มีจุดอ่อนที่ทำให้ผู้บุกรุกสามารถเข้าถึงและควบคุมระบบที่มีช่องโหว่นี้ได้ ทว่าด้วย OS X ระบบยังคงปลอดภัยดังเดิมและไม่มีทางถูกโจมตีจากภายนอกผ่านทางช่องโหว่ของ bash ดังที่ได้กล่าวมา เว้นเสียแต่ว่าผู้ใช้ได้ปรับตั้งค่าแบบขั้นสูงในบริการ UNIX เรากำลังทำงานเพื่อเร่งออกชุดอัพเดตซอฟต์แวร์สำหรับผู้ใช้ UNIX ขั้นสูงเหล่านั้น
อ่านถึงตรงนี้ ผู้ใช้ OS X อาจต้องประเมินเองว่าตนตกอยู่ภายใต้ความเสี่ยงจาก Shellshock นี้หรือไม่จากการพิจารณาว่าตนเองเป็นผู้ใช้ในระดับไหน
ที่มา - SlashGear
Comments
ถ้าไม่รู้ว่า unix คืออะไร terminal เอาไว้ทำอะไรก็คงไม่เสี่ยงหรอกครับ
OSX มี webserver ในตัวทุกเครื่องไม่ติด mod_CGI เหรอครับ รอดจริงเหรอ
Linux ต้องลงเพิ่มนะ แต่ osx มีทุกเครื่องเอลย
X server ซื้อแยกจาก OS หลักครับ ไม่ bundle มาในOS ครับ
ไม่ครับ ไม่จำเป็น เพราะ OSX ตั้งแต่ snow leopard เป็นต้นมามั้ง มีหมดครับไม่จำเป็นต้อง serverhttp://macs.about.com/od/networking/qt/websharing.htm
มี web server ในตัวครับ แต่ไม่ได้เปิดเป็น default ครับ
อ่านแล้วขำ ผู้ใช้ขั้นสูง
Microsoft รอดตัวไป
blog
อ่านแล้วสรุปได้ว่าโดนครับ ถ้าบอกแบบนี้แปลว่า linux desktop ทุกตัวก็ไม่ได้เสี่ยงเช่นกัน แต่ทำไมเขา update กันแล้วล่ะ
Linux ต้องลงเพิ่มครับ ถ้าไม่ลงก็ไม่โดน
ไม่ครับ บักนี้ใช้ผ่าน dhcpcd ของลินุกซ์ได้ครับ ลินุกซ์เดสก์ท็อปน่าจะโดนกันเยอะเหมือนกันครับ (แต่ embeded ไม่ค่อยโดนเพราะไม่ได้ใช้ bash)
Server บางตัวมีแต่ KShell น่ะครับ
ชีวิตรำเค็ญมาก
คือจะบอกว่าค่าตั้งต้นของ OS X ไม่ได้เปิดการทำงานของ web server เหมือนกับที่ Windows ไม่ได้เปิด IIS ประมาณนั้นเหรอครับ?
สรุป มีปัญหาจริง แต่ยังไม่ออกอัพเดท
ใครเอา OS X มาทำ Server สงสัยฝันร้ายแน่ patch แบบ workaround กันไปเองก่อน
ส่วนอื่นๆ นอกนั้นแค่ทำให้ดูดีเฉยๆ ซึ่งไม่เป็นผลดีต่อตัวผู้ใช้เอง
DigitalOcean เปิด Bash มาเป็นค่า Defualt เลย หนาวๆร้อนๆก็จริงแต่ก็อุด Port หมดแล้ว
ปรึกษาเลยละกัน DigitalOcean ผมไปสั่ง apt-get upgrade ทั้งหมดแล้ว พอหรือยังครับ?
คิดว่าพอแล้วนะครับ (ถ้าอัพหลังจากช่วงเช้าของวันนี้)
ของผมก็ DigitalOcean แต่ผมทำเป็นสคริปรวม update upgrade dist-upgrade แล้วตั้งเป็น Crontab รันทุกๆ 3.00 a.m.
พอดีว่าไม่มีโปรแกรมอะไรที่ซับซ้อนมาก ก็เลยใช้วิธีนี้
ไม่พอครับ เพราะอุดยังไม่หมด อ่านต่อ.....
[edit]
DigitalOcean ให้คำแนะนำมาแล้วครับ อ่าน......
เว็บไซต์สำหรับทดสอบ ShellShock http://shellshock.brandonpotter.com/
[edit เพิ่ม](Edit อะไรนักหนา)แนะนำว่ายัดลง CloudFlare ครับ (Allow IPของเขาแล้วนอกนั้นก็บล๊อก, แพคเกจ $20) ถ้ายังกลัวเรื่อง OpenSSH แนะนำให้เข้าไป Web Console แล้ว Stop Service ไปเลย
ปล. อุดจนปวดหัวแต่บั๊กตัวที่เหลือยังไม่ออกแพทช์เลย ส่วน RHEL,CentOS ได้ข่าวแว่วๆว่าอุดหมดแล้ว
Ubuntu/Debian ออก patch ของ CVE-2014-7169 ตามมาทีหลังในอีก 5-6 ชั่วโมงต่อมาครับ ผมอัพ patch แรกของ CVE-2014-6271 ตอนตี 1 แล้วมาอัพ patch สอง ของ CVE-2014-7169 ตอนเที่ยงเมื่อวานอีกรอบ
http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html
ตัว Ubuntu 14.10 มาช้าสุดในกลุ่ม เพราะเมื่อวานตอน อัพ patch ตัวนี้ตัวเดียวที่ pending แต่ตอนี้ release เรียบร้อย (เพราะ 14.10 มันยังไม่ release ตัวเต็มมั้ง มันเลยช้าสุด)
บางทีพูดงี้ แต่แอบปล่อย update เงียบๆ หรือป่าว
OS X ไม่ได้เปิดส่วน server มาเป็น default อยู่แล้วนี่ครับ การจะโดนโจมตีจากภายนอกก็น่าจะลดความเสี่ยงไปอีกมาก
ผมเจอใน stackexchange ว่ามีคนโดนฝังมัลแวด้วยช่องโหว่นี้มาตั้งแต่ปี 2012 ฮาเลยครับท่าน ถึงจะแพทแล้วแต่มัลแวยังอยู่ใน server นะครับ ตามไปลบกันด้วย (แปลว่าช่องโหว่นี้ถูกค้นพบ และใช้ Hack Server มาแล้วไม่ต่ำกว่า 3 ปี)
ขอบคุณครับ