12 Aprile 2016
Il team dedicato alla sicurezza di Red Hat, una delle distro Linux enterprise più conosciute e diffuse al mondo, ha dichiarato di aver scoperto una falla in bash (Born Again SHell), uno dei tool più installati in qualsiasi sistema Linux e anche Mac OS X (non solo distro Red Hat, quindi). Il bug, battezzato Bash bug o Shellshock, permette di creare variabili contenenti codice malevolo prima dell'apertura della shell, che verranno eseguite immediatamente alla sua apertura, lasciando quindi una porta aperta a una serie pressoché illimitata di attacchi mirati.
Ciò che rende particolarmente grave il problema, però, è che il bug potrebbe essere presente nei sistemi da molto tempo, e benché Red Hat e Fedora abbiano già rilasciato delle patch che chiudono la falla, difficilmente tutti i dispositivi affetti saranno messi in sicurezza in breve tempo. Anzi, la maggior parte non lo sarà mai: secondo Robert Graham di Errata Security, Bash bug interessa anche dispositivi secondari, come sistemi di videosorveglianza o piccoli server telnet, FTP e così via (NAS, hard disk di rete), che non possono ricevere aggiornamenti software perché ormai obsoleti.
This 'bash' bug is probably a bigger deal than Heartbleed, btw.
— Robert Graham (@ErrataRob) September 24, 2014
Il ricercatore ha già iniziato una serie di test sull'intera Internet (sul suo profilo Twitter gli aggiornamenti), e i primi risultati sono decisamente poco incoraggianti. E dire che Google, con il suo neonato Project Zero, ci aveva reso (cautamente) ottimisti...
Prezzo e prestazioni al top? Xiaomi 13, in offerta oggi da Pskmegastore a 634 euro oppure da eBay a 679 euro.
Commenti
Sottoliniamo osx haha
Ho letto l'articolo ma non ci ho capito una mazza..
Ho letto i commenti e non ho capito na mazza..
Qualcuno mi spiega in modo semplice quali sono i rischi e gli utenti compromessi....
non ho capito come fare testare questa vulnerabilità su OSx
Ma OSX è il più s111cuuuR000000
Ok, grazie ho preferito patchare a priori per sicurezza.
busybox, non android...
la si mette esattamente come con i milioni di macchine con xp, varie versioni di win embedded e vecchie versioni dei server microsoft ancora collegate ad internet, ovvero si accetta che certa gente sara' sempre un pericolo per gli altri.
francamente mi fa tornare a mente una cosa di anni fa, borland rilascio' il codice del suo venerando db all'open source, sei mesi dopo si scopri' che il codice conteneva una pesantissima backdoor che permetteva accesso remoto illimitato ai db.
da li parti' una pesantissima campagna accusatoria di fud per l'open source, accusadolo di averci messo ben sei mesi a trovare la backdoor....
sei mesi, certo, ma il closed source allora? quella backdoor era stata messa da un impiegato scontento piu' di cinque anni prima.
nel codice closed una volta che un pezzo di codice passa il check iniziale nessuno piu' ci pensera' a riverificarlo, quella backdoor probabilmente e' stata venduta ad innumerevoli gruppi di black hat senza ed usata in modo malevolo senza che nessuno ne sapesse niente.
eppure le accuse erano contro l'open source, non contro borland che non ha fatto per anni i controlli necessari...
aggiungerei anche parecchi routers, alcuni mediaplayer/stb, nas (specie se usati come server web con porte aperte verso l'esterno) ecc. alle macchine potenzialmente vulnerabili.
il problema qui e' che bash (o derivati diretti) sono installati automaticamente su praticamente tutti i sistemi e lo script sceglie quale shell eseguire autonomamente.
in altre parole per essere al sicuro dovresti disinstallarlo manualmente (ovviamente aggiornare alla versione patchata e' piu' pratico, bash e' molto piu' comodo di sh)
per verificare se il tuo sistema e' vulnerabile, apri una shell e digita:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
se il risultato e'
vulnerable
this is a test
allora devi patchare, se ti da un errore e poi "this is a test" (senza vulnerable) allora sei al sicuro
Riguardo ai modem/router sai qualcosa?
Io ho testato su Ubuntu Server 14.04 e non è compromesso....
Testato sulla shell di Android (con Android Terminal Emulator) ed è vulnerabile
Tranquilli, bombarderemo i responsabili.
Questa notizia è troppo scarna scritta così. Se leggete un articolo in inglese sull'argomento scoprirete:
1) Debian e derivate non sono a rischio (quindi anche ubuntu)
2) Il problema c'è per chi usa bash sino alla versione 4.3
3) A quanto pare il problema è più su server che utilizzano apache, e a quanto pare il "problema" sono script CGI che utilizzano la bash
4) Se riesci ad entrare hai gli stessi privilegi del webserver, che di certo non sono quelli di root
La falla c'è ma se non si spiega di cosa si sta parlando si fà solo terrorismo. A giusto per la cronaca, da tale problema è affetto anche OSX
se hai ragione tu mavericks, e ubuntu 14.04 sono compromessi
Come per Heartbleed esiste il modo per verificare se il proprio sistema è vulnerabile. Scrivete sulla vostra shell questo:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Se l'output è:
vulnerable
this is a test
Allora il vostro sistema è compromesso.
Il risultato "giusto" è:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
bashrc e bash_profile hanno una struttura da cani e ci si può istruire affinchè bash all'avvio faccia di tutto, ma proptio di tutto. Quindi hanno fatto la scoperta dell'america.
Soluzione? 1) usare SH, due usare FreeBSD e tagliamo la testa al toro.
Sinceramente non ho capito molto bene i dettagli di questo bug. Ho un piccolo web server dedicato basato su CentOS devo preoccuparmi?
concordo se i sistemi sono settati da professionisti non dovrebbero esserci grossi problemi. Come detto dall' articolo però fa paura per quanto riguarda quei piccoli sistemi embeded abbandonati dai produttori.
Preferisco un bug che viene fixato. E il mio commento verte sulla falsa sicurezza dei sistemi unix/linux sbandierata a destra e a manca ma di fatto fasulla. Come la mettiamo con tutto l hw datato che c'è in giro? Si butta via tutto?
studiando un po' la cosa a quanto ho capito non c'e' comunque salto di permessi quindi per quanto dannoso il bug non permette l'accesso root su sistemi non settati da cani, decisamente meno pericoloso di heartbleed.
preferisci un bug noto a tutti e fixato o uno che conoscono soltanto i "cattivi" ed usano a loro piacimento?
su android mi pare non sia installata di default, non c'e' proprio opzione per uina shell ma la installano alcune app tipo i server ssh
Anche android quindi? Cioè potenzialmente ci sono miliardi di utenti con un cell pieno di bug?
Eh ma linux è più sicuro, i bug li vedono tutti. Si si, credici....
il problema è che, una volta scoperti, nessuno aggiorna niente xD
e non preoccupatevi, project zero aveva reso più ottimisti solo quelli che non ci capiscono un c....
non solo linux, qualsiasi cosa derivata da unix usa bash, incluso mac os x