ShellShock, il bug della shell BASH che apre una falla su Linux e Mac

ShellShock, il bug della shell BASH che apre una falla su Linux e Mac

Una falla piuttosto pesante, denominata ShellShock, riguarda tutti i sistemi *nix (quindi sia Linux che Mac) attualmente in circolazione, in particolare:

  • Red Hat Enterprise Linux 4-7 / Fedora
  • CentOS 5-7
  • Ubuntu 10.04 LTS, 12.04 LTS, and 14.04 LTS
  • Debian
  • OS X 10.9.4 Mavericks

Il livello di gravità è molto elevato, paragonabile a quello di Heartbleed, e riguarda questo: la GNU Bash fino alla versione 4.3 permette ad un attaccante remoto di eseguire codice arbitrario, quindi senza alcun controllo ed arrivando a prendere in possesso la gestione del server, ad esempio mediante sshd, moduli mod_cgi / mod_cgid del server HTTP Apache, scrip arbitrari da parte di client DHCP, e molte altre situazioni in cui sia possibile utilizzare un terminale remoto. Di fatto, una variabile d’ambiente del SO con un nome qualsiasi può essere utilizzata per fare da vettore a comandi qualsiasi, anche malevoli, che portano fino al totale controllo remoto del sistema operativo.

La vulnerabilità (fonte) riguarda un mancato controllo sulla shell di sistema, che permette di eseguire comandi concatenati senza alcun controllo: in particolare per testare se il proprio sistema è affetto dalla falla, ammesso ovviamente che la shell sia accessibile da remoto (come nel caso dei VPS), si apre una finestra del terminale e si verifica l’output del comando

env x='() { :;}; echo vulnerabile' bash -c "echo ciao"

se appare:

vulnerabile
ciao

si è vulnerabili, altrimenti no.

Sono al momento in corso i lavori per aggiornare il livello di sicurezza dei sistemi operativi affetti, in particolare la Apple non ha ancora rilasciato l’aggiornamento di sicurezza in questione, mentre le istruzioni dettagliate per proteggersi manualmente sono riportate a questo indirizzo di stackexchange.

 

Fonte: ArsTechnica, web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.