Disclaimer per i contenuti del Blog


DISCLAIMER:Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità . Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L'autore non è responsabile per quanto pubblicato dai lettori nei commenti ad ogni post. Verranno cancellati i commenti ritenuti offensivi o lesivi dell’immagine o dell’onorabilità di terzi, di genere spam, razzisti o che contengano dati personali non conformi al rispetto delle norme sulla Privacy. Alcuni testi o immagini inserite in questo blog sono tratte da internet e, pertanto, considerate di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d'autore, vogliate comunicarlo via email. Saranno immediatamente rimossi. L'autore del blog non è responsabile dei siti collegati tramite link, del loro contenuto che può essere soggetto a variazioni nel tempo ne degli eventuali danni derivanti dall'utilizzo proprio od improprio delle informazioni presenti nei post.

lunedì 29 settembre 2014

Bash Bug - Shellshock

E' notizia di pochissimi giorni fa l'individuazione, da parte del Team di Red Hat, di una vulnerabilità nella shell Bash e sembra che questo problema sia presente da una ventina d'anni (!!!).
Credo che ormai tutte le distribuzioni di Linux abbiano disponibile un aggiornamento che invito caldamente ad installare.

Per le distribuzioni basate su Red Hat (es. RHEL, Fedora, CentOS):
      sudo yum update bash
Per le distribuzioni basate su Debian (es. Ubuntu):
      sudo apt-get update && sudo apt-get install --only-upgrade bash

E' possibile eseguire questo comando (https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-shellshock-bash-vulnerability) per avere un'idea dello stato di vulnerabilità del proprio sistema Linux:
      env VAR='() { :;}; echo Bash VULNERABILE!' bash -c "echo Bash Test"
se nell'output del comando NON comparirà la scritta "Bash VULNERABILE" allora il sistema sarà al sicuro.

Ecco un esempio del comando eseguito su un server aggiornato (CentOS5):


ed uno eseguito su un server NON aggiornato e quindi vulnerabile (Fedora 9):


Ma Linux non gira solo su server e client, viene utilizzato sempre più frequentemente nell'Internet delle cose: 
  • Telecamere per videosorveglianza
  • NAS
  • SmartPhone Android (la versione ufficiale non include Bash ma eventuali ROM Custom potrebbero...)
  • Videoregistratori digitali
  • ...ed una infinità di altri oggetti.
Spero che i vari sviluppatori di questi software forniscano al più presto degli update dei firmware così da tappare eventuali falle.

1 commento:

  1. Apple corre ai ripari: http://9to5mac.com/2014/09/29/apple-releases-os-x-bash-update-1-0-addressing-shellshock-vulnerability/

    RispondiElimina