25 settembre 2014

ShellShock: nuova falla critica nei sistemi UNIX (afflitti Linux, Mac OS X e altri sistemi unix based)


L'hanno chiamata CVE-2014-6271 o per gli amici ShellShock. Che cosa è? Si tratta di una delle maggiori falle di sicurezza scovate sui sistemi UNIX negli ultimi anni tanto che il NIST (National Vulnerability Database) ha attribuito alla falla il grado massimo di sicurezza ovvero 10 su 10.

La vulnerabilità risiede in Bash fino alla versione 4.3 inclusa ed è stata resa pubblica da Stephane Chazelas. Tramite questa falla è possibile prendere il controllo di un web server tramite un semplice comando inviato via internet.
In parole povere permette l'esecuzione di codice all'esterno di una funzione anche se la funzione non viene invocata. Può fare danni però è necessario avere i permessi di root quindi alla fine è limitato all'utente in esecuzione. (ringrazio +Daniele Scasciafratte per lo spiegone).
Ma quanto è grave?  Parecchio, tanto per dare alcuni esempi (ringrazio +Gianfranco Gallizia per queste ulteriori informazioni):

1) Tantissimi device usano script della shell come CGI per compiere diverse operazioni. Pensate ad esempio agli AP Wi-Fi che impostano l'indirizzo IP da interfaccia Web tramite script della shell: quello script gira come root e se la shell è bash siete nella merda.

2) Il client DHCP invoca una shell per impostare alcuni parametri e gira come root.

3) Una pagina PHP che usa i comandi system e/o exec può eseguire il comando in una shell se lanciata da PHP-FPM o PHP-CGI (mod_php invece non è vulnerabile).

Qui c'è un'esempio che mostra come è possibile far crashare un server da remoto con un comando lanciando una fork bomb http://unix.stackexchange.com/questions/157384/cve-2014-6271-bash-vulnerability-example/157385#157385
Questa falla affligge la maggior parte dei sistemi UNIX, dai sistemi Linux a Mac OS X passando per tutti i dispositivi collegati alla rete come stampanti, router, smart tv, web cam etc..
Secondo l'esperto di sicurezza Robert Graham questa falla è probabilmente più grave di Heartbleed.
Questo perché interagisce con altri software in maniera inaspettata e mentre i web server sono patchabili, molti dei sistemi come webcam, router etc rimarranno senza patch.

Per scoprire se si è vulnerabili basta digitare in un terminale

env x='() { :;}; echo vulnerabile' bash -c "echo prova"

se vi compare un messaggio di errore significa che non ne siete afflitti. Se invece compaiono le parole vulnerabile e prova allora ne siete afflitti.

Le principali distribuzioni stanno già lavorando per offrire a breve la patch così come (spero) anche Apple.
Debian ha rilasciato la versione patchata su Sid http://metadata.ftp-master.debian.org/changelogs//main/b/bash/bash_4.3-9.1_changelog e Stable.
Anche su Tanglu (derivata di Debian) è arrivata la patch che fixa il bug,
Mi giunge la segnalazione che anche Arch Linux ha appena rilasciato l'aggiornamento di Bash.
Stessa situazione su Fedora che ha implementato la nuova versione esente da bug da ieri sera http://fedoramagazine.org/flaw-discovered-in-the-bash-shell-update-your-fedora-systems/.
A quanto pare la patch rilasciata da Fedora era incompleta, una nuova patch verrà rilasciata quanto prima http://fedoramagazine.org/the-previous-fix-for-shellshock-bash-vulnerability-incomplete-updated-fedora-packages-soon/

Maggiori info su CNET, The Register, Red Hat
Dettagli tecnici su Unix e Linux

Nessun commento:

Posta un commento

Licenza
Licenza Creative Commons

Quest' opera è distribuita con licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 3.0 Unported. Questo blog non rappresenta una testata giornalistica, in quanto viene aggiornato senza alcuna periodicità. Non può, pertanto, considerarsi un prodotto editoriale, ai sensi della legge n. 62 del 7/03/2001

Disclaimer immagini

Le immagini utilizzate in questo blog appartengono ai loro rispettivi autori e sono utilizzati per scopi educativi, personali e senza scopo di lucro. Ogni eventuale violazione del copyright non è intenzionale, ma se si riconosce un'immagine protetta da copyright, fatemelo sapere qui, e sarò lieto di aggiungere i credits o modificarla o rimuoverla.

Disclaimer images

Images used on this blog belong to their respective authors and are used for educational, personal and no profit purposes. Any eventual copyright infringement is not intentional, but if you recognize a copyrighted image, please let me know here, and I'll happily provide to add the right credits or modify or remove it.