InformaticaMondo LinuxMondo MicrosoftUNIX

ShellShock: nuova falla critica nei sistemi UNIX (afflitti Linux, Mac OS X e altri sistemi unix based)

Marco Giannini
L’hanno chiamata CVE-2014-6271 o per gli amici ShellShock. Che cosa è? Si tratta di una delle maggiori falle di sicurezza scovate sui sistemi UNIX negli ultimi anni tanto che il NIST (National Vulnerability Database) ha attribuito alla falla il grado massimo di sicurezza ovvero 10 su 10.

La vulnerabilità risiede in Bash fino alla versione 4.3 inclusa ed è stata resa pubblica da Stephane Chazelas. Tramite questa falla è possibile prendere il controllo di un web server tramite un semplice comando inviato via internet.
In parole povere permette l’esecuzione di codice all’esterno di una funzione anche se la funzione non viene invocata. Può fare danni però è necessario avere i permessi di root quindi alla fine è limitato all’utente in esecuzione. (ringrazio +Daniele Scasciafratte per lo spiegone).
Ma quanto è grave?  Parecchio, tanto per dare alcuni esempi (ringrazio +Gianfranco Gallizia per queste ulteriori informazioni):

1) Tantissimi device usano script della shell come CGI per compiere diverse operazioni. Pensate ad esempio agli AP Wi-Fi che impostano l’indirizzo IP da interfaccia Web tramite script della shell: quello script gira come root e se la shell è bash siete nella merda.

2) Il client DHCP invoca una shell per impostare alcuni parametri e gira come root.

3) Una pagina PHP che usa i comandi system e/o exec può eseguire il comando in una shell se lanciata da PHP-FPM o PHP-CGI (mod_php invece non è vulnerabile).

Qui c’è un’esempio che mostra come è possibile far crashare un server da remoto con un comando lanciando una fork bomb http://unix.stackexchange.com/questions/157384/cve-2014-6271-bash-vulnerability-example/157385#157385

Questa falla affligge la maggior parte dei sistemi UNIX, dai sistemi Linux a Mac OS X passando per tutti i dispositivi collegati alla rete come stampanti, router, smart tv, web cam etc..
Secondo l’esperto di sicurezza Robert Graham questa falla è probabilmente più grave di Heartbleed.

This ‘bash’ bug is probably a bigger deal than Heartbleed, btw.
— Robert Graham (@ErrataRob) 24 Settembre 2014

Questo perché interagisce con altri software in maniera inaspettata e mentre i web server sono patchabili, molti dei sistemi come webcam, router etc rimarranno senza patch.

Per scoprire se si è vulnerabili basta digitare in un terminale
env x='() { :;}; echo vulnerabile’ bash -c “echo prova”
se vi compare un messaggio di errore significa che non ne siete afflitti. Se invece compaiono le parole vulnerabile e prova allora ne siete afflitti.
Le principali distribuzioni stanno già lavorando per offrire a breve la patch così come (spero) anche Apple.
Debian ha rilasciato la versione patchata su Sid http://metadata.ftp-master.debian.org/changelogs//main/b/bash/bash_4.3-9.1_changelog e Stable.
Anche su Tanglu (derivata di Debian) è arrivata la patch che fixa il bug,
Mi giunge la segnalazione che anche Arch Linux ha appena rilasciato l’aggiornamento di Bash.
Stessa situazione su Fedora che ha implementato la nuova versione esente da bug da ieri sera http://fedoramagazine.org/flaw-discovered-in-the-bash-shell-update-your-fedora-systems/.
A quanto pare la patch rilasciata da Fedora era incompleta, una nuova patch verrà rilasciata quanto prima http://fedoramagazine.org/the-previous-fix-for-shellshock-bash-vulnerability-incomplete-updated-fedora-packages-soon/

Maggiori info su CNET, The Register, Red Hat
Dettagli tecnici su Unix e Linux

Marco Giannini

Quello del pacco / fondatore di Marco’s Box

Potrebbe anche interessarti

Lubuntu 13.10 userà XMir (notizia deprecata, è arrivata la smentita)

Marco Giannini

Installare GM-Notify su Linux Mint

Marco Giannini

Proposto un nuovo design per l’Ubuntu Software Central su Maverick

Marco Giannini