Tôi muốn nhận thông tin mới nhất từ Aptech      
 
   
 
CHƯƠNG TRÌNH ĐÀO TẠO

LTV QUỐC TẾ ACCP
CHỈ CÓ TẠI CNC
CÁC KHÓA NGẮN HẠN

LỖI BASK SHELLSHOCK, NỖI ĐE DỌA TRIỆU HỆ THỐNG MÁY TÍNH TRÊN TOÀN THẾ GIỚI

Được công bố vào ngày 24-9, lỗi Bash Shellshock đã nhanh chóng thu hút được sự chú ý của giới an ninh mạng, bảo mật và cả hacker trên toàn thế giới do phạm vi ảnh hưởng rộng lớn và nguy hiểm không kém lỗi “Trái tim rỉ máu” (Heartbleed) đã từng đe dọa Internet trước đây. 

Bash là bộ xử lý lệnh của Unix và các HĐH họ Linux. Lỗ hổng bảo mật trong Bash được khám phá bởi Stephane Chazelas, công bố trên SecLists.org ngày 24-9, mã CVE-2014-6271.

Hiểu cơ bản về lỗi Bash Shellshock, khi gán hàm vào một biến thì các đoạn mã được định nghĩa trong hàm sẽ được thực thi, qua đó mở rộng cơ hội cho các cuộc tấn công kiểu code-injection (chèn mã). Điểm yếu này có thể khai thác từ xa nếu như mã có thể được gán vào một biến môi trường thông qua giao tiếp mạng.

Lỗi đặt các máy chủ web Apache vào tình trạng nguy hiểm, mang nguy cơ bị tin tặc tấn công, chạy các câu lệnh điều khiển từ xa. OpenSSH và một số DHCP-client cũng bị ảnh hưởng trên những máy dùng Bash.

Các hệ thống dùng Ubuntu và phân hệ Debian khác dùng Dash không bị đe dọa bởi lỗi, nhưng các chuyên gia khuyến cáo vẫn nên kiểm tra shell.

Ngay sau khi lỗi được công bố, chuyên gia bảo mật Kenn White đã kiểm tra thử nghiệm cho thấy, hàng loạt website cấp chính phủ và quân đội (tên miền .mil và .gov) có thể bị chiếm dụng bởi lỗi. Ông thảng thốt trên Twitter về mức độ nguy hiểm của lỗi.

Giám đốc Liên minh An ninh Đám mây (CSA) Jim Reavis đánh giá lỗi Bash Shellshock có mức độ nguy hiểm tương đương với lỗi Heartbleed trong OpenSSL công bố năm ngoái.

 

Nguồn: tuoitre