Lompat ke isi

Shellshock (bug perangkat lunak)

Dari Wikipedia bahasa Indonesia, ensiklopedia bebas
Shellshock
pengidentifikasi CVECVE-2014-6271 (initial),
CVE-2014-6277,
CVE-2014-6278,
CVE-2014-7169,
CVE-2014-7186,
CVE-2014-7187
Tanggal ditemukan12 September 2014; 10 tahun lalu (2014-09-12)
Tanggal ditambal24 September 2014; 10 tahun lalu (2014-09-24)
PenemuStéphane Chazelas
Perangkat lunak yang terpengaruhBash (1.0.3–4.3)

Shellshock, lebih dikenal sebagai Bashdoor,[1] adalah keluarga kekutu keamanan[2] di syel Unix Bash, yang pertama diungkapkan pada 24 September 2014. Shellshock dapat memungkinkan penyerang menyebabkan Bash mengeksekusi perintah sewenang-wenang dan mendapatkan akses tidak sah ke banyak Internet- menghadapi layanan, seperti server web, yang menggunakan Bash untuk memproses permintaan.[3] ke banyak layanan yang terhubung ke Internet, seperti server web, yang menggunakan Bash untuk memproses permintaan.

Pada 12 September 2014, Stéphane Chazelas memberi tahu pengelola Bash, Chet Ramey[1] tentang penemuan bug aslinya, yang disebutnya "Bashdoor". Bekerja sama dengan pakar keamanan, Tn. Chazelas mengembangkan tambalan[1] (memperbaiki) untuk masalah tersebut, yang saat itu telah diberi pengidentifikasi kerentanan CVE-2014-6271.[4] Keberadaan kekutu diumumkan ke publik pada 2014-09-24, ketika pembaruan Bash dengan perbaikan siap didistribusikan.[5]

Bug yang ditemukan Chazelas menyebabkan Bash mengeksekusi perintah secara tidak sengaja ketika perintah digabungkan ke akhir definisi fungsi yang disimpan dalam nilai variabel lingkungan.[1][6] Dalam beberapa hari setelah publikasi, berbagai kerentanan terkait ditemukan (CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 and CVE-2014-7187). Ramey mengatasinya dengan serangkaian tambalan lebih lanjut.[7][8]

Referensi

[sunting | sunting sumber]
  1. ^ a b c d Perlroth, Nicole (25 September 2014). "Security Experts Expect 'Shellshock' Software Bug in Bash to Be Significant". New York Times. Diakses tanggal 25 September 2014. 
  2. ^ Although described in some sources as a "virus," Shellshock is instead a design flaw in a program that comes with some operating systems. See => Staff (25 September 2014). "What does the "Shellshock" bug affect?". The Safe Mac. Diakses tanggal 27 September 2014. 
  3. ^ Seltzer, Larry (29 September 2014). "Shellshock makes Heartbleed look insignificant". ZDNet. Diakses tanggal 29 September 2014. 
  4. ^ Florian Weimer (24 September 2014). "Re: CVE-2014-6271: remote code execution through bash". http://seclists.org/oss-sec/2014/q3/650. 
  5. ^ Florian Weimer (24 September 2014). "Re: CVE-2014-6271: remote code execution through bash". http://seclists.org/oss-sec/2014/q3/666. 
  6. ^ Leyden, John (24 September 2014). "Patch Bash NOW: 'Shell Shock' bug blasts OS X, Linux systems wide open". The Register. Diakses tanggal 25 September 2014. 
  7. ^ Saarinen, Juha (29 September 2014). "Further flaws render Shellshock patch ineffective". iTnews. Diakses tanggal 29 September 2014. 
  8. ^ Vaughan-Nichols, Steven (27 September 2014). "Shellshock: Better 'bash' patches now available". ZDNet. Diakses tanggal 29 September 2014.