Apple บอกผู้ใช้ OS X ไม่ต้องกลัวปัญหาจากบั๊ก Shellshock

By: ตะโร่งโต้ง

on 26 September 2014 - 20:41 Tags:

Topics:

นับแต่ไม่กี่ชั่วโมงที่ผ่านมาหลังมีการพบช่องโหว่ร้ายแรงใน Bash ที่เรียกกันเล่นๆ ว่า "ShellShock" ซึ่งว่ากันว่าร้ายแรงกว่า HeartBleed อันมีผลทำให้ผู้ใช้ UNIX ทุกรุ่นตกอยู่ในความเสี่ยง จนทำให้หลายฝ่ายเร่งออกแพตช์มาแก้ไขปัญหา เว้นแต่ฝั่ง Apple ที่ยังคงสงวนท่าที (แม้ 2 ระบบปฏิบัติการของ Apple อย่าง iOS และ OS X ก็ตกอยู่ในข่ายมีความเสี่ยงด้วย)

ล่าสุด SlashGear ได้อ้างว่ามีอีเมลจากทาง Apple ถูกส่งมาเพื่อชี้แจงว่าผู้ใช้ OS X ไม่จำเป็นต้องหวั่นกลัวว่าจะเจอปัญหาจากวิกฤต Shellshock นี้ โดยมีใจความว่า

ผู้ใช้ OS X ส่วนใหญ่นั้นปราศจากความเสี่ยงจากช่องโหว่ของ bash ที่มีการรายงานข่าวไปเมื่อไม่นานมานี้ โดย bash ซึ่งเป็นคำสั่งเชลล์ของ UNIX และเป็นภาษาที่ใช้ใน OS X มีจุดอ่อนที่ทำให้ผู้บุกรุกสามารถเข้าถึงและควบคุมระบบที่มีช่องโหว่นี้ได้ ทว่าด้วย OS X ระบบยังคงปลอดภัยดังเดิมและไม่มีทางถูกโจมตีจากภายนอกผ่านทางช่องโหว่ของ bash ดังที่ได้กล่าวมา เว้นเสียแต่ว่าผู้ใช้ได้ปรับตั้งค่าแบบขั้นสูงในบริการ UNIX เรากำลังทำงานเพื่อเร่งออกชุดอัพเดตซอฟต์แวร์สำหรับผู้ใช้ UNIX ขั้นสูงเหล่านั้น

อ่านถึงตรงนี้ ผู้ใช้ OS X อาจต้องประเมินเองว่าตนตกอยู่ภายใต้ความเสี่ยงจาก Shellshock นี้หรือไม่จากการพิจารณาว่าตนเองเป็นผู้ใช้ในระดับไหน

ที่มา - SlashGear

Hiring! บริษัทที่น่าสนใจ

LSEG (London Stock Exchange Group)

LSEG is a leading global financial markets infrastructure and data provider

iApp Technology Co., Ltd.

ผู้เชี่ยวชาญด้านปัญญาประดิษฐ์ Artificial Intelligence (AI) สำหรับภาษาไทย (NLP) และหุ่นยนต์ (Robots)

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

Comments

By: plawanja

on 26 September 2014 - 20:50 #747603

ถ้าไม่รู้ว่า unix คืออะไร terminal เอาไว้ทำอะไรก็คงไม่เสี่ยงหรอกครับ

By: cmmadnat

on 26 September 2014 - 21:00 #747607

OSX มี webserver ในตัวทุกเครื่อง
ไม่ติด mod_CGI เหรอครับ รอดจริงเหรอ

Linux ต้องลงเพิ่มนะ แต่ osx มีทุกเครื่องเอลย

By: LazarusSP1

on 26 September 2014 - 21:14 #747617 Reply to:747607

X server ซื้อแยกจาก OS หลักครับ ไม่ bundle มาในOS ครับ

By: cmmadnat

on 26 September 2014 - 21:29 #747620 Reply to:747617

ไม่ครับ ไม่จำเป็น เพราะ OSX ตั้งแต่ snow leopard เป็นต้นมามั้ง มีหมดครับไม่จำเป็นต้อง server
http://macs.about.com/od/networking/qt/websharing.htm

By: arth

on 26 September 2014 - 23:49 #747684 Reply to:747620

มี web server ในตัวครับ แต่ไม่ได้เปิดเป็น default ครับ

By: saratlim

on 26 September 2014 - 21:08 #747615

อ่านแล้วขำ ผู้ใช้ขั้นสูง

Microsoft รอดตัวไป

blog

By: wichate

on 26 September 2014 - 21:17 #747619

อ่านแล้วสรุปได้ว่าโดนครับ ถ้าบอกแบบนี้แปลว่า linux desktop ทุกตัวก็ไม่ได้เสี่ยงเช่นกัน แต่ทำไมเขา update กันแล้วล่ะ

By: cmmadnat

on 26 September 2014 - 21:30 #747621 Reply to:747619

Linux ต้องลงเพิ่มครับ ถ้าไม่ลงก็ไม่โดน

By: nat3738

on 26 September 2014 - 21:57 #747638 Reply to:747621

ไม่ครับ บักนี้ใช้ผ่าน dhcpcd ของลินุกซ์ได้ครับ ลินุกซ์เดสก์ท็อปน่าจะโดนกันเยอะเหมือนกันครับ (แต่ embeded ไม่ค่อยโดนเพราะไม่ได้ใช้ bash)

By: mr_tawan

on 27 September 2014 - 15:56 #747882 Reply to:747638

Server บางตัวมีแต่ KShell น่ะครับ

ชีวิตรำเค็ญมาก

9tawan.net บล็อกส่วนตัวฮับ

By: thsecmaniac

on 26 September 2014 - 21:42 #747628

คือจะบอกว่าค่าตั้งต้นของ OS X ไม่ได้เปิดการทำงานของ web server เหมือนกับที่ Windows ไม่ได้เปิด IIS ประมาณนั้นเหรอครับ?

By: Ford AntiTrust

on 27 September 2014 - 01:19 #747639

สรุป มีปัญหาจริง แต่ยังไม่ออกอัพเดท

ใครเอา OS X มาทำ Server สงสัยฝันร้ายแน่ patch แบบ workaround กันไปเองก่อน

ส่วนอื่นๆ นอกนั้นแค่ทำให้ดูดีเฉยๆ ซึ่งไม่เป็นผลดีต่อตัวผู้ใช้เอง

By: Architec

on 27 September 2014 - 00:21 #747696

DigitalOcean เปิด Bash มาเป็นค่า Defualt เลย หนาวๆร้อนๆก็จริงแต่ก็อุด Port หมดแล้ว

By: tomyum

on 27 September 2014 - 00:47 #747710 Reply to:747696

ปรึกษาเลยละกัน DigitalOcean ผมไปสั่ง apt-get upgrade ทั้งหมดแล้ว พอหรือยังครับ?

By: Eagle Blue Eyes

on 27 September 2014 - 00:53 #747713 Reply to:747710

คิดว่าพอแล้วนะครับ (ถ้าอัพหลังจากช่วงเช้าของวันนี้)
ของผมก็ DigitalOcean แต่ผมทำเป็นสคริปรวม update upgrade dist-upgrade แล้วตั้งเป็น Crontab รันทุกๆ 3.00 a.m.
พอดีว่าไม่มีโปรแกรมอะไรที่ซับซ้อนมาก ก็เลยใช้วิธีนี้

By: Architec

on 27 September 2014 - 10:40 #747751 Reply to:747710

ไม่พอครับ เพราะอุดยังไม่หมด อ่านต่อ.....

[edit]
DigitalOcean ให้คำแนะนำมาแล้วครับ อ่าน......

เว็บไซต์สำหรับทดสอบ ShellShock http://shellshock.brandonpotter.com/

[edit เพิ่ม](Edit อะไรนักหนา)
แนะนำว่ายัดลง CloudFlare ครับ (Allow IPของเขาแล้วนอกนั้นก็บล๊อก, แพคเกจ $20) ถ้ายังกลัวเรื่อง OpenSSH แนะนำให้เข้าไป Web Console แล้ว Stop Service ไปเลย

ปล. อุดจนปวดหัวแต่บั๊กตัวที่เหลือยังไม่ออกแพทช์เลย ส่วน RHEL,CentOS ได้ข่าวแว่วๆว่าอุดหมดแล้ว

By: Ford AntiTrust

on 27 September 2014 - 14:22 #747859 Reply to:747751

Ubuntu/Debian ออก patch ของ CVE-2014-7169 ตามมาทีหลังในอีก 5-6 ชั่วโมงต่อมาครับ ผมอัพ patch แรกของ CVE-2014-6271 ตอนตี 1 แล้วมาอัพ patch สอง ของ CVE-2014-7169 ตอนเที่ยงเมื่อวานอีกรอบ

http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html

ตัว Ubuntu 14.10 มาช้าสุดในกลุ่ม เพราะเมื่อวานตอน อัพ patch ตัวนี้ตัวเดียวที่ pending แต่ตอนี้ release เรียบร้อย (เพราะ 14.10 มันยังไม่ release ตัวเต็มมั้ง มันเลยช้าสุด)

By: hoverboy

on 27 September 2014 - 00:47 #747711

บางทีพูดงี้ แต่แอบปล่อย update เงียบๆ หรือป่าว

By: Sephanov

on 27 September 2014 - 00:55 #747715

OS X ไม่ได้เปิดส่วน server มาเป็น default อยู่แล้วนี่ครับ การจะโดนโจมตีจากภายนอกก็น่าจะลดความเสี่ยงไปอีกมาก

By: wichate

on 27 September 2014 - 02:17 #747728

ผมเจอใน stackexchange ว่ามีคนโดนฝังมัลแวด้วยช่องโหว่นี้มาตั้งแต่ปี 2012 ฮาเลยครับท่าน ถึงจะแพทแล้วแต่มัลแวยังอยู่ใน server นะครับ ตามไปลบกันด้วย (แปลว่าช่องโหว่นี้ถูกค้นพบ และใช้ Hack Server มาแล้วไม่ต่ำกว่า 3 ปี)

By: PR0GAM3

on 27 September 2014 - 06:13 #747744

ขอบคุณครับ

Main menu