c.m.g
25-09-2014, 12:16
Scritto da: Rosario - giovedì 25 settembre 2014
Il nuovo bug nella Bash di Linux è stato soprannonimanto Shellshock.
http://media.downloadblog.it/0/000/shell-620x350.png
Gli amministratori di sistema che lavorano su piattaforma Linux stanno letteralmente tremando in queste ore per un nuovo bug nella shell Bash, scoperto da un team di sicurezza interno a Red Hat (https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/).
Per chi non dovesse sapere di cosa stiamo parlando, la Bash è una delle colonne portanti dell'intero sistema Linux, particolarmente apprezzata per la sua usabilità rispetto ad altre utility simili. Shellshock, questo il nome del bug, permetterebbe a un eventuale malintenzionato di eseguire codice appena la shell viene lanciata, scoprendo così il fianco a una lunga serie di attacchi possibili.
L'introduzione del bug nella Bash risalirebbe a diverso tempo fa, per cui sembra che praticamente tutte le versioni di Linux siano colpite: Red Hat e Fedora hanno già pubblicato online le loro patch. Nel frattempo, si è scoperto che lo stesso problema riguarda anche OS X: nonostante Apple non abbia ancora messo online il proprio fix, si può ricorrere a un post su Stack Exchange (http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-the-remote-exploit-cve-2014-6271/146851#146851) per controllare ed eventualmente limitare il problema.
Peggiore di Heartbleed?
Nonostante sia meno roboante e possa forse sembrare solo una roba da nerd, Shellshock è preso con una certa serietà all'interno della comunità che si occupa di sicurezza. Robert Graham di Errata Security lo ha infatti paragonato ad Heartbleed:
"Un'enorme percentuale di software interagisce con la shell in qualche modo. Non saremo mai in grado di catalogare tutto il software vulnerabile a questo bug nella Bash."
Dello stesso avviso anche Nicholas Weaver di Berkeley ICSI, contattato da The Verge (http://www.theverge.com/2014/9/24/6840697/worse-than-heartbleed-todays-bash-bug-could-be-breaking-security-for):
"È sottile, brutto, e sarà con noi per anni."
Fonte: DownloadBlog (http://www.downloadblog.it/post/116264/shellshock-il-bug-nella-bash-di-linux-peggiore-di-heartbleed)
Il nuovo bug nella Bash di Linux è stato soprannonimanto Shellshock.
http://media.downloadblog.it/0/000/shell-620x350.png
Gli amministratori di sistema che lavorano su piattaforma Linux stanno letteralmente tremando in queste ore per un nuovo bug nella shell Bash, scoperto da un team di sicurezza interno a Red Hat (https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/).
Per chi non dovesse sapere di cosa stiamo parlando, la Bash è una delle colonne portanti dell'intero sistema Linux, particolarmente apprezzata per la sua usabilità rispetto ad altre utility simili. Shellshock, questo il nome del bug, permetterebbe a un eventuale malintenzionato di eseguire codice appena la shell viene lanciata, scoprendo così il fianco a una lunga serie di attacchi possibili.
L'introduzione del bug nella Bash risalirebbe a diverso tempo fa, per cui sembra che praticamente tutte le versioni di Linux siano colpite: Red Hat e Fedora hanno già pubblicato online le loro patch. Nel frattempo, si è scoperto che lo stesso problema riguarda anche OS X: nonostante Apple non abbia ancora messo online il proprio fix, si può ricorrere a un post su Stack Exchange (http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-the-remote-exploit-cve-2014-6271/146851#146851) per controllare ed eventualmente limitare il problema.
Peggiore di Heartbleed?
Nonostante sia meno roboante e possa forse sembrare solo una roba da nerd, Shellshock è preso con una certa serietà all'interno della comunità che si occupa di sicurezza. Robert Graham di Errata Security lo ha infatti paragonato ad Heartbleed:
"Un'enorme percentuale di software interagisce con la shell in qualche modo. Non saremo mai in grado di catalogare tutto il software vulnerabile a questo bug nella Bash."
Dello stesso avviso anche Nicholas Weaver di Berkeley ICSI, contattato da The Verge (http://www.theverge.com/2014/9/24/6840697/worse-than-heartbleed-todays-bash-bug-could-be-breaking-security-for):
"È sottile, brutto, e sarà con noi per anni."
Fonte: DownloadBlog (http://www.downloadblog.it/post/116264/shellshock-il-bug-nella-bash-di-linux-peggiore-di-heartbleed)