Bash ShellShock – Grave bug di sicurezza
Bash ShellShock – Grave bug di sicurezza

Bash ShellShock – Grave bug di sicurezza

Dopo la grande falla di OpenSSL questa volta è il turno di  un grave bug di sicurezza della Bash. Sono coinvolti migliaia di server  e computer sparsi nel mondo che montano versioni di Linux, MacOs X e vari dialetti di Unix. Forse (ancora non ho avuto modo di verificare personalmente) anche gli smartphone con determinate versioni di Android (p.es. 4.4) soffrono di questo bug.

Il “National Institute of Standard and Technology” Americano ha assegnato a questo bug il massimo punteggio di severità (10 su 10).

Cosa permetterebbe di fare questa vulnerabilità?

Su macchine in cui il bug è presente è possibile eseguire comandi arbitrari anche da remoto, prendendo di fatto il controllo del server.

La vulnerabilità classificata come CVE-2014-6271 è stata subito ribattezzata SHELLSHOCK .

E’ possibile verificare se la propria macchina soffre di questa vulnerabilità lanciando il seguente comando:

env x = ‘() {:;}; echo Attenzione macchina vulnerabile ‘ bash -c “echo Shellshock Test”

Se al posto di un errore e la scritta “Shellshock Test” vi compare il testo “Attenzione macchina vulnerabile” dovete immediatamente aggiornare o patchare la vostra bash.

E’ possibile, anche, sfruttare la falla in modo che si autopropaghi come un worm (consiglio questa lettura).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.