Не совсем свежая новость, но всё равно интересно.
Цитата
Bashdoor (также англ. Shellshock) — серия программных уязвимостей, обнаруженных в программе GNU Bash в сентябре 2014 года и открыто опубликованных 24 сентября. … Уязвимость позволяет атакующему исполнять произвольные команды, получив неправомерный доступ к компьютерным системам.
…
Анализ исходного кода Bash свидетельствует, что уязвимость была заложена в код приблизительно в версии 1.13 в 1992 году или ранее и с тех пор оставалась необнаруженной среди общей публики и незадекларированной. Группа авторов Bash затрудняется в определении точного времени внедрения ошибки из-за недостаточно подробной истории изменений (changelog).
…
Предполагается, что уязвимы миллионы систем. Ошибка получила максимальную оценку по шкале опасности и сравнивается по значению с Heartbleed — ошибкой в OpenSSL (апрель 2014).
Цитата:
Какие версии Bash подвержены уязвимости?
Все версии за последние почти 25 лет, включая 4.3. Сравните с Heartbleed, опасности которого были подвержены версии OpenSSL за последние два года. Да, люди обновляют версии, но это не делается планомерно, и как ни крути, Shellshock угрожает гораздо большему количеству машин, чем Heartbleed.UPD. В продолжение — обнаружены новые уязвимости в bash www.linux.org.ru/news/security/10892232
Всё, что вы хотели знать об уязвимости Shellshock