Выпущено третье обновление для исправления уязвимости ShellShock

Инженер Red Hat Флориан Ваймер (Florian Weimer)  выпустил уже третье обновление для командной оболочки Bash, исправляющее критическую уязвимость ShellShock. Это исправление устраняет еще несколько брешей, обнаруженных после выпуска первых двух обновлений.

Руководитель проекта Bash Чет Рэйми (Chat Ramey) принял исправление Ваймера и выпустил его в виде официального обновления №27 для Bash 4.3 (bash43-027). Предыдущие исправления пытались устранить уязвимость ShellShock, но каждый раз специалисты обнаруживали все новые и новые бреши.

Инженер отдела безопасности Google Михаль Залевский (Michal Zalewski) описал в своем блоге обновление Ваймера. Он настоятельно рекомендует всем пользователям ОС Linux установить последние обновления.

Для того чтобы проверить, установлена ли безопасная версия Bash, пользователи должны выполнить в терминале следующую команду:

foo='() { echo not patched; }' bash -c foo

Если на ПК присутствует уязвимая версия Bash, команда вызовет сообщение "not patched" в терминал.

В то же время киберпреступники продолжают эксплуатировать ShellShock для осуществления DDoS-атак, удаленной загрузки вредоносного ПО и бэкдоров, а также похищения данных. Наибольшее количество кибератак с использованием этой бреши было зафиксировано в Китае, Бразилии и России.