হ্যাঁ আপনি প্রযুক্তিগতভাবে দুর্বল। তাই যদি আপনি আতঙ্কিত হয়ে বা আতঙ্কিত হয়ে কয়েক ঘন্টা আতঙ্কিত কাজের জন্য আতঙ্কিত ক্লায়েন্টকে বিল দেওয়ার মতো বোধ করেন তবে এর জন্য যান!
তবে বাস্তবতা হ'ল আপনি যদি দূরবর্তী সংযোগগুলি থেকে বা এসএসএইচটিকে সার্ভার সাইড স্ক্রিপ্টিং চালিত কোনও ওয়েব সার্ভার থেকে অনুমতি না দেন তবে আপনার ঝুঁকি নেই। আপনি কেবল তখনই সত্যিকার অর্থে দুর্বল হন যদি আপনি জানেন না এমন কেউ আপনার মেশিনকে দূর থেকে অ্যাক্সেস করতে পারে এবং এমন কোনও পদ্ধতিতে বাশ কমান্ড কার্যকর করতে পারে do
মানে আপনার ডেস্কটপ ম্যাক — যা সত্যই কোনও ধরণের সার্ভার অ্যাপ্লিকেশন চালায় না serious কোনও গুরুতর ঝুঁকিতে নেই। আমি এখানে কিছু প্রবাদ বাক্য "নম্র পাই" খেতে ইচ্ছুক, তবে আমি মনে করি না যে বেশিরভাগ ম্যাক ব্যবহারকারীরা দিনের শেষে ঝুঁকিতে পড়বেন।
সুতরাং এই সমস্যাটি মূলত ম্যাক ওএস এক্স এবং ইউনিক্স / লিনাক্স সার্ভারের সিস্টেম অ্যাডমিনিস্ট্রেটারদের কাছে উদ্বেগের বিষয়, বিশ্বের ডাবল ডেস্কটপ ব্যবহারকারীরা নয় যারা এসএসএইচ ভাগ করে নেওয়া সক্ষম করে না।
এই ঝুঁকিটি কাজে লাগাতে সম্ভবত ম্যাক ম্যালওয়্যার বা ভাইরাস তৈরি হওয়ার ঝুঁকি রয়েছে তবে আমি সন্দেহ করি।
সম্পাদনা: এবং কেবল এই সমস্যাটি কীভাবে ব্যাখ্যা করা যায় - আমার নম্র মতামত অনুসারে - বেশিরভাগ গড় ব্যবহারকারীদের পক্ষে আসলেই সমস্যা নয়, হ্যাঁ আমি bashম্যাক ওএস এক্স ১০.৯.৫ থেকে নিম্নলিখিত কমান্ডটি চালাতে পারি :
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
এবং আমি এটি দেখতে:
vulnerable
hello
কি অনুমান? এটি কেবল আতঙ্কজনক যদি আপনি এটিকে যৌক্তিকভাবে ভাবেন না। এমনকি টার্মিনালটি খোলার জন্য আমার ম্যাকে ইতিমধ্যে লগইন করতে হয়েছিল। এবং উপরের এসএসএইচ সম্পর্কে আমি যা বলেছিলাম তা প্রত্যাখ্যান করার জন্য, এমনকি এসএসএইচ সক্ষম থাকলেও আমি এই পরীক্ষাটি চালাতে পারব এমনকি শুরু করার জন্য আমাকে লগ ইন করতে হবে। এবং তারপরে — আসুন আমি এসএসএইচের মাধ্যমে অ্যাক্সেস পেয়েছি — কমান্ডটি আমার সাধারণ ব্যবহারকারীর অধিকার যেমন এর থেকে কিছুই করার অনুমতি দেয় না:
env x='() { :;}; echo vulnerable' bash -c 'cat /etc/ssh_host_rsa_key'
অর্থাত্ যদি আপনি এই হ্যাকের দ্বারা প্রকৃতপক্ষে অপব্যবহারের ঝুঁকির মধ্যে থাকেন তবে সিস্টেমে আপনার মূল সুরক্ষাটি এতটাই আপস করতে হবে যে bashকোনও ত্রুটি রয়েছে তা সত্যই আপনার সমস্যাগুলির মধ্যে খুব কম।
এটি সামগ্রিক নিয়ন্ত্রণ এবং অধিকার সম্পর্কিত সমস্যা থেকে উদ্বেগ কারণ এটি প্রত্যাশিত নিয়মের বাইরে আচরণ প্রসারিত হওয়ার কারণে অযাচিত অ্যাক্সেসের অনুমতি দেওয়ার সম্ভাবনা হিসাবে । তবে আমার নম্র মতে এটি ওপেনএসএসএল বা বাগানের বিভিন্ন ধরণের ঝুঁকি নয় "আমাকে আমার স্ক্রিনে ট্যাপ করা নোটটিতে আমার পাসওয়ার্ড ছেড়ে দিন" ঝুঁকিপূর্ণ।
দিনের শেষে আমি এখনও আমার সমস্ত লিনাক্স / ইউনিক্স সার্ভারগুলিকে মানক পদ্ধতি হিসাবে চালাচ্ছি p এবং ঠিকঠাক শেষ হয়ে গেলে আমি ম্যাকগুলিকে খুশিতে প্যাচ করব। তবে ব্যবহারিক দৈনিক ব্যবহারের জন্য আমি এ নিয়ে উদ্বিগ্ন না হয়ে অনুভব করি যেহেতু আমি বুঝতে পারি না যে উন্নত ব্যবহারকারীর সুযোগ-সুবিধাগুলি মঞ্জুরি দেয় না এমন ত্রুটি কীভাবে কোনও কিছুতে যুক্ত করে।
আপডেট: অ্যাপল থেকে সরকারী শব্দ এখানে পোস্ট করা ; জোর খনি:
আইপোরের একজন মুখপাত্র আইমোরকে বলেছেন , "ওএস এক্সের বেশিরভাগ ব্যবহারকারী সম্প্রতি রিপোর্ট করা বাশ দুর্বলতার ঝুঁকিতে নেই," ইউএসআইএক্স কমান্ড শেল এবং ওএস এক্সের অন্তর্ভুক্ত ভাষা, একটি দুর্বলতা রয়েছে যা অননুমোদিত ব্যবহারকারীদের দূরবর্তীভাবে লাভ করতে পারে দুর্বল সিস্টেমের নিয়ন্ত্রণ। ওএস এক্স এর সাহায্যে সিস্টেমগুলি ডিফল্টরূপে সুরক্ষিত থাকে এবং ব্যবহারকারীরা উন্নত ইউএনআইএক্স পরিষেবাদি কনফিগার না করা পর্যন্ত ব্যাশের দূরবর্তী শোষণের মুখোমুখি হয় না।
আমরা আমাদের উন্নত ইউনিক্স ব্যবহারকারীদের জন্য দ্রুত একটি সফ্টওয়্যার আপডেট সরবরাহ করার জন্য কাজ করছি। "
অনুবাদ: আমি এটির উপরে সার্ভার সমস্যা এবং ক্লায়েন্টের সমস্যা না হওয়ার বিষয়ে কি বলেছি? যথাযথভাবে।
একটি ফাইনাল ইউডিপেট: যে কেউ উত্স থেকে সংকলনের সাথে লড়াই করছেন, 29 শে সেপ্টেম্বর পর্যন্ত অ্যাপল ম্যাক ওএস এক্স 10.9.5, 10.8.5 পাশাপাশি 10.7.5 এর জন্য আনুষ্ঠানিকভাবে প্যাচ প্রকাশ করেছে:
এখনও অন্য চূড়ান্ত আপডেট: এবং এখন, অ্যাপল শুধু সংমিশ্রণ সুরক্ষা আপডেট আজ প্রকাশ করেছে অন্তর্ভুক্ত bashআপডেট হিসাবে ভাল !
দ্রষ্টব্য: সুরক্ষা আপডেট 2014-005 এ ওএস এক্স বাশ আপডেট 1.0 এর সুরক্ষা সামগ্রী অন্তর্ভুক্ত