شماره: IRCNE2014092329
تاريخ: 09/07/93
شركت هاي سيسكو و اوراكل در حال بررسي محصولات خود به منظور يافتن آسيب پذيري Shellshock مي باشند.
اين آسيب پذيري هفته گذشته كشف شد و به مهاجمان اجازه مي دهد تا فرآيندهاي خاص در حال اجرا بر روي ماشين هاي آلوده را فريب داده و رشته اي مخرب را به Bash وارد نمايند و در نتيجه بتوانند دستورات دلخواه را بر روي سيستم عامل اجرا نمايند.
يك محقق امنيتي با نام Rob Fullerمجموعه اي از كدهاي سوء استفاده از اين آسيب پذيري را از منابع مختلف جمع آوري كرده است. بيشترين بردارهاي حمله شناخته شده از طريق وب سرورهايي كه در حال اجراي اسكريپت هاي CGI مي باشند، صورت گرفته است. اگرچه ساير برنامه هايي كه با Bash در تعامل مي باشند نيز اهداف بالقوه محسوب مي شوند.
شركت سيسكو اين آسيب پذيري را در 71 محصول خود شناسايي كرده است. اين محصولات شامل برنامه هاي كاربردي و خدمات شبكه، امنيت و محتوي شبكه، تهيه و مديريت شبكه، مسيريابي و سوئيچينگ، پردازش واحد، صدا و ارتباطات، ويدئو، جريان داده و TelePresence مي شوند.
اين شركت در حال بررسي 168 محصول ديگر و خدمات ميزباني شده است بنابراين احتمال افزايش تعداد فهرست محصولات آسيب پذير وجود دارد.
در راهنمايي امنيتي شركت سيسكو آمده است كه تاثير اين آسيب پذيري بر روي محصولات سيسكو با توجه به نوع محصول آسيب پذير ممكن است متفاوت باشد.
شركت اوراكل در حال بررسي محصولات خود است. در حال حاضر اين شركت اصلاحيه هايي را براي نه محصول خود منتشر كرده است. اين محصولات عبارتند از: Oracle Database Appliance نسخه 12.1.2 و 2.x، Oracle Exadata Storage Server Software، Oracle Exalogic، Oracle Exalytics، Oracle Linux نسخه هاي 4، 5، 6 و 7، Oracle Solaris Operating System نسخه هاي 8، 9، 10 و 11، Oracle SuperCluster، Oracle Virtual Compute Appliance Software و Oracle VM نسخه هاي 2.2، 3.2 و 3.3.
هم چنين 42 محصولي كه از Bash استفاده مي كنند نسبت به مشكل Shellshock آسيب پذير مي باشند و در حال حاضر اصلاحيه اي براي آن ها در دسترس نيست.
اين شركت در راهنمايي امنيتي خود اشاره كرد كه شركت اوراكل مسئول تاثير اين آسيب پذيري بر روي محصولاتي كه ديگر از آن ها پشتيباني نمي كند، نيست.
- 2