Panik rådde under natten mot torsdagen svensk tid bland världens IT-säkerhetsexperter och systemadministratörer. En ny sårbarhet har dykt upp i programmet Bash, som används för att ta emot användarkommandon på många datorer. Sårbarheten gör det möjligt för en angripare att köra kommandon på datorn genom att dölja dem i en så kallad miljövariabel – en sorts inställning i datorn som ofta kan påverkas av vem som helst via internet.
Bland de programvaror som låter internetanvändare påverka miljövariabler – och som alltså leder till att datorn är sårbar för attacker – finns flera stora distributioner av den populära webbservern Apache.
Bash är ett mycket vanligt förekommande program och ingår som standard i de flesta versioner av Linux och i det populära operativsystemet Mac OS X.
Buggfix var meningslös
Apple släppte under onsdagskvällen en säkerhetsfix och det gjorde även många Linux-distributioner. Vid midnatt visade det sig dock att säkerhetsbrister fortfarande fanns kvar – och den senaste versionen av Bash var även den sårbar för vissa attacker.
Incase you missed it, internet... @taviso has illustrated the bash patch didn't fix the bug! gg @tavis , tragicfail #bash
— Eric Monti (@ericmonti) September 24, 2014
Det allvarliga säkerhetshålet hotar nästan alla – direkt eller indirekt. Flera stora sajter där många svenskar har användarkonton – bland annat den populära vänstertidningen Aftonbladet – var under torsdagsmorgonen sårbara för säkerhetsbristen i Bash. Det är för närvarande oklart när en fungerande buggfix kan dyka upp för Mac OS X och de stora Linux-distributionerna, men Bash-utvecklaren Chet Ramey släppte en förbättrad version under morgonen svensk tid.
Fria Tiders användare säkra
Fria Tider använder SELinux som begränsar möjligheten att utnyttja sårbarheten. Det är för närvarande oklart om Fria Tiders webbserver (Nginx/PHP) ens har varit sårbar för problemen i Bash över huvud taget. Tills en fullt fungerande säkerhetsfix har släppts hålls emellertid de servrar som hanterar kunduppgifter och e-postadresser till Fria Tiders användare helt bortkopplade från internet. Till följd av detta kommer det inte gå att logga in på Fria Tider Plus eller på användarkonton under torsdagsmorgonen.
Nedstängningen beror inte på misstanke om dataintrång. Fria Tider har genom loggfiler kunnat utesluta att sårbarheten redan skulle ha utnyttjats för att få tillgång till kunduppgifter eller e-postadresser till användare.
