Tag: bash bug

Bash Bug, come verificare se sei vulnerabile

Nell’attuale caos è difficile trovare una procedura uguale per tutti per capire se la falla di sicurezza riguarda anche il tuo computer. Ecco alcuni consigli

(Foto: Corbis Images)

In queste ore i professionisti di sicurezza informatica di tutto il mondo sono al lavoro per riparare una falla di sicurezza nota come Shellshock o Bash Bug. Si tratta, come abbiamo raccontato qui ieri, di una grave vulnerabilità che risale a 22 anni fa e riguarda Bash, un tipo di shell molto usata nei sistemi Unix/Linux e anche nei Mac, quindi presente su milioni di computer in tutto il mondo.

Attualmente, come ha spiegato Vox, c’è ancora molta confusionesu come funziona esattamente il bug, su chi sia davverovulnerabile e sul modo in cui i singoli utenti possano intervenireper chiudere la falla, a seconda del software che utilizzano. In particolare, la vulnerabilità dipende dal fatto che un computerinvochi Bash in modo sicuro o meno.

Per esempio, pare che i computer Apple come i MacBookutilizzino Bash in modo sicuro e che quindi non siano vulnerabili. Tuttavia, in mancanza di un commento tecnico ufficiale di Apple, meglio non cedere ai facili ottimismi. Anche in caso di vulnerabilità, l’unica cosa che si può fare è attendere che l’azienda di Cupertino rilasci un aggiornamento software, e poi installarlonon appena diventa disponibile.

Nel frattempo, il consiglio di Timothy Lee è di prestare attenzione ai login sulle reti wi-fi, evitando di collegarsi a quelle non sicure che utilizzano il protocollo Dhcp (come per esempio quelle ad accesso libero nei luoghi pubblici) fino a che non arriverà un aggiornamento o almeno una comunicazione ufficiale da parte di Apple.

Secondo quanto riportato da The Register e da Red Hat, gli utentiUnix/Linux possono verificare la propria vulnerabilità eseguendo le seguenti righe di comando:

env X=”() { :;} ; echo busted” /bin/sh -c “echo completed”
env X=”() { :;} ; echo busted” `which bash` -c “echo completed”

Se alla fine ricevi in output busted senza segnalazione di errori, allora sei a rischio, altrimenti o Bash è sicuro oppure si sta utilizzando un altro interprete. In breve, il test può dirti solo se sei vulnerabile, ma non può garantirti che tu sia al sicuro. Anche in caso di vulnerabilità, l’unica cosa da fare è comunque aggiornare il proprio pacchetto Bash alla versione più recente, digitando direttamente sulla shell di comando l’istruzione:

# yum update bash

via http://www.wired.it/


Bash Bug in Linux è peggio di Hearthbleed, allarme generale

In Linux c’è un pericoloso bug i cui effetti potrebbero essere anche peggiori del famigerato Hearthbleed. I ricercatori di Red Hat lo hanno battezzato “Bash Bug” (o Shellshock) perché riguarda appunto la shell Bash, “forse una delle utility più installate su tutti i sistemi Linux”. Se sfruttato, questo bug permette l’esecuzione di codice arbitrario sui sistemi Linux, e il pericolo riguarda in particolare milioni di server in tutto il mondo.

Il problema sta nel fatto che è possibile “creare variabili d’ambiente con valori manipolati prima di chiamare la shell bash. Queste variabili possono contenere codice, che sarà eseguito non appena s’invoca la shell”, si legge sul post di Red Hat. Non si tratta di un problema teorico ma è ormai una zero-day: si sono già individuati attacchi che sfruttano questo bug.

Red Hat ha già pubblicato correzioni parziali per Red Hat Enterprise Linux e Fedora, ma il problema riguarda così tanti sistemi che è impossibile dire con certezza quanto tempo ci vorrà per correggerlo. Oltre ai sistemi Linux, poi, Bash Bug riguarda anche OS X – trattandosi di un difetto insito nella comune base Unix. Gli utenti Apple possono seguirequeste istruzioni per verificare se sono esposti.

“Bash è il software usato per controllare il prompt dei comandi su molti computer Linux”, si legge su The Guardian. Se un criminale ne dovesse prendere il controllo sfruttando questo bug, quindi, potrebbe potenzialmente fare danni molto ingenti. A ragion veduta, quindi, persino il Dipartimento per la Sicurezza Nazionale (Homeland Security, DHS) ha pubblicato un allarme a riguardo, insieme a una pagina per approfondire.

Non saremo mai in grado di catalogare tutti i software vulnerabili a Bash Bug“,ha scritto Robert Graham di Errata Security. “È subdolo, cattivo e resterà con noi per anni”, gli fa eco Nicholas Weaver (Berkeley ICSI). Come abbiamo visto nel caso di Hearthbleed, continua Graham, “sei mesi dopo centinaia di migliaia di sistemi sono ancora vulnerabili. Raramente sono cose come i webserver, ma più spesso oggetti collegati a Internet come le videocamere”.

E come nel caso di Hearthbleed anche Bash Bug esiste da moltissimi anni, “ciò significa”, spiega Graham, “che ci sono un mucchio di vecchi dispositivi vulnerabili. Il numero disistemi che non riceveranno una patch è molto più grande che con Hearthbleed”.

Ci vuole un logo, questo potrebbe vincere?

Anche Akamai, il distributore di contenuti più grande al mondo, che consiglia anche alcune possibili soluzioni dà la propria conferma insieme a qualche consiglio per attenuare il problema, come “aggiornare a una nuova versione di bash, sostituire bash con una shell alternativa, limitare l’accesso ai servizi vulnerabili o filtrare gli input ai servizi vulnerabili.

Il problema sembra quindi davvero molto grave, e come con Hearthbleed ce lo porteremo dietro per mesi, forse anni. L’unica magra consolazione è che buona parte dei sistemi saranno aggiornati nei prossimi giorni: nel mondo della sicurezza IT infatti ci si è attivati subito per creare e installare patch correttive. Comunque, per ora, sono ancora tanti quelli che non hanno idea di cosa stia accadendo.

via http://www.tomshw.it/


Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi