L'hanno chiamata CVE-2014-6271 o per gli amici ShellShock. Che cosa è? Si tratta di una delle maggiori falle di sicurezza scovate sui sistemi UNIX negli ultimi anni tanto che il NIST (National Vulnerability Database) ha attribuito alla falla il grado massimo di sicurezza ovvero 10 su 10.
La vulnerabilità risiede in Bash fino alla versione 4.3 inclusa ed è stata resa pubblica da Stephane Chazelas. Tramite questa falla è possibile prendere il controllo di un web server tramite un semplice comando inviato via internet.
In parole povere permette l'esecuzione di codice all'esterno di una funzione anche se la funzione non viene invocata. Può fare danni però è necessario avere i permessi di root quindi alla fine è limitato all'utente in esecuzione. (ringrazio +Daniele Scasciafratte per lo spiegone).
Ma quanto è grave? Parecchio, tanto per dare alcuni esempi (ringrazio +Gianfranco Gallizia per queste ulteriori informazioni):
1) Tantissimi device usano script della shell come CGI per compiere diverse operazioni. Pensate ad esempio agli AP Wi-Fi che impostano l'indirizzo IP da interfaccia Web tramite script della shell: quello script gira come root e se la shell è bash siete nella merda.
2) Il client DHCP invoca una shell per impostare alcuni parametri e gira come root.
3) Una pagina PHP che usa i comandi system e/o exec può eseguire il comando in una shell se lanciata da PHP-FPM o PHP-CGI (mod_php invece non è vulnerabile).
Qui c'è un'esempio che mostra come è possibile far crashare un server da remoto con un comando lanciando una fork bomb http://unix.stackexchange.com/questions/157384/cve-2014-6271-bash-vulnerability-example/157385#157385
In parole povere permette l'esecuzione di codice all'esterno di una funzione anche se la funzione non viene invocata. Può fare danni però è necessario avere i permessi di root quindi alla fine è limitato all'utente in esecuzione. (ringrazio +Daniele Scasciafratte per lo spiegone).
Ma quanto è grave? Parecchio, tanto per dare alcuni esempi (ringrazio +Gianfranco Gallizia per queste ulteriori informazioni):
1) Tantissimi device usano script della shell come CGI per compiere diverse operazioni. Pensate ad esempio agli AP Wi-Fi che impostano l'indirizzo IP da interfaccia Web tramite script della shell: quello script gira come root e se la shell è bash siete nella merda.
2) Il client DHCP invoca una shell per impostare alcuni parametri e gira come root.
3) Una pagina PHP che usa i comandi system e/o exec può eseguire il comando in una shell se lanciata da PHP-FPM o PHP-CGI (mod_php invece non è vulnerabile).
Qui c'è un'esempio che mostra come è possibile far crashare un server da remoto con un comando lanciando una fork bomb http://unix.stackexchange.com/questions/157384/cve-2014-6271-bash-vulnerability-example/157385#157385
Questa falla affligge la maggior parte dei sistemi UNIX, dai sistemi Linux a Mac OS X passando per tutti i dispositivi collegati alla rete come stampanti, router, smart tv, web cam etc..
Secondo l'esperto di sicurezza Robert Graham questa falla è probabilmente più grave di Heartbleed.
Secondo l'esperto di sicurezza Robert Graham questa falla è probabilmente più grave di Heartbleed.
This 'bash' bug is probably a bigger deal than Heartbleed, btw.
— Robert Graham (@ErrataRob) 24 Settembre 2014
Questo perché interagisce con altri software in maniera inaspettata e mentre i web server sono patchabili, molti dei sistemi come webcam, router etc rimarranno senza patch.
Per scoprire se si è vulnerabili basta digitare in un terminale
env x='() { :;}; echo vulnerabile' bash -c "echo prova"
se vi compare un messaggio di errore significa che non ne siete afflitti. Se invece compaiono le parole vulnerabile e prova allora ne siete afflitti.
Le principali distribuzioni stanno già lavorando per offrire a breve la patch così come (spero) anche Apple.
Debian ha rilasciato la versione patchata su Sid http://metadata.ftp-master.debian.org/changelogs//main/b/bash/bash_4.3-9.1_changelog e Stable.
Anche su Tanglu (derivata di Debian) è arrivata la patch che fixa il bug,
Debian ha rilasciato la versione patchata su Sid http://metadata.ftp-master.debian.org/changelogs//main/b/bash/bash_4.3-9.1_changelog e Stable.
Anche su Tanglu (derivata di Debian) è arrivata la patch che fixa il bug,
Mi giunge la segnalazione che anche Arch Linux ha appena rilasciato l'aggiornamento di Bash.
Stessa situazione su Fedora che ha implementato la nuova versione esente da bug da ieri sera http://fedoramagazine.org/flaw-discovered-in-the-bash-shell-update-your-fedora-systems/.
A quanto pare la patch rilasciata da Fedora era incompleta, una nuova patch verrà rilasciata quanto prima http://fedoramagazine.org/the-previous-fix-for-shellshock-bash-vulnerability-incomplete-updated-fedora-packages-soon/
A quanto pare la patch rilasciata da Fedora era incompleta, una nuova patch verrà rilasciata quanto prima http://fedoramagazine.org/the-previous-fix-for-shellshock-bash-vulnerability-incomplete-updated-fedora-packages-soon/
