Shellshock (bug perangkat lunak)
pengidentifikasi CVE | CVE-2014-6271 (initial), CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187 |
---|---|
Tanggal ditemukan | 12 September 2014 |
Tanggal ditambal | 24 September 2014 |
Penemu | Stéphane Chazelas |
Perangkat lunak yang terpengaruh | Bash (1.0.3–4.3) |
Shellshock, lebih dikenal sebagai Bashdoor,[1] adalah keluarga kekutu keamanan[2] di syel Unix Bash, yang pertama diungkapkan pada 24 September 2014. Shellshock dapat memungkinkan penyerang menyebabkan Bash mengeksekusi perintah sewenang-wenang dan mendapatkan akses tidak sah ke banyak Internet- menghadapi layanan, seperti server web, yang menggunakan Bash untuk memproses permintaan.[3] ke banyak layanan yang terhubung ke Internet, seperti server web, yang menggunakan Bash untuk memproses permintaan.
Pada 12 September 2014, Stéphane Chazelas memberi tahu pengelola Bash, Chet Ramey[1] tentang penemuan bug aslinya, yang disebutnya "Bashdoor". Bekerja sama dengan pakar keamanan, Tn. Chazelas mengembangkan tambalan[1] (memperbaiki) untuk masalah tersebut, yang saat itu telah diberi pengidentifikasi kerentanan CVE-2014-6271.[4] Keberadaan kekutu diumumkan ke publik pada 2014-09-24, ketika pembaruan Bash dengan perbaikan siap didistribusikan.[5]
Bug yang ditemukan Chazelas menyebabkan Bash mengeksekusi perintah secara tidak sengaja ketika perintah digabungkan ke akhir definisi fungsi yang disimpan dalam nilai variabel lingkungan.[1][6] Dalam beberapa hari setelah publikasi, berbagai kerentanan terkait ditemukan (CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 and CVE-2014-7187). Ramey mengatasinya dengan serangkaian tambalan lebih lanjut.[7][8]
Referensi
[sunting | sunting sumber]- ^ a b c d Perlroth, Nicole (25 September 2014). "Security Experts Expect 'Shellshock' Software Bug in Bash to Be Significant". New York Times. Diakses tanggal 25 September 2014.
- ^ Although described in some sources as a "virus," Shellshock is instead a design flaw in a program that comes with some operating systems. See => Staff (25 September 2014). "What does the "Shellshock" bug affect?". The Safe Mac. Diakses tanggal 27 September 2014.
- ^ Seltzer, Larry (29 September 2014). "Shellshock makes Heartbleed look insignificant". ZDNet. Diakses tanggal 29 September 2014.
- ^ Florian Weimer (24 September 2014). "Re: CVE-2014-6271: remote code execution through bash". http://seclists.org/oss-sec/2014/q3/650.
- ^ Florian Weimer (24 September 2014). "Re: CVE-2014-6271: remote code execution through bash". http://seclists.org/oss-sec/2014/q3/666.
- ^ Leyden, John (24 September 2014). "Patch Bash NOW: 'Shell Shock' bug blasts OS X, Linux systems wide open". The Register. Diakses tanggal 25 September 2014.
- ^ Saarinen, Juha (29 September 2014). "Further flaws render Shellshock patch ineffective". iTnews. Diakses tanggal 29 September 2014.
- ^ Vaughan-Nichols, Steven (27 September 2014). "Shellshock: Better 'bash' patches now available". ZDNet. Diakses tanggal 29 September 2014.