Shellshock un BUG su BASH

By | novembre 19, 2016

E’ stato scovato da RedHat un pò di tempo fa un BUG sulla BASH Linux, ritenuto da molti più pericoloso di Heartbleed.  Questo subito soprannominato Shellshock. Sembrerebbe un BUG di almeno 20 anni, in cui nessun sistema Linux o UNIX sia salvo. Il problema di sicurezza è stato individuato nel modo in cui la shell gestisce le variabili di ambiente,  sfruttando codice extra alla fine della definizione delle funzioni all’interno delle variabili. E’ già stato rilasciato in ogni modo l’aggiornamento per il paching del problema.

Per vedere se nel nostro sistema è presente questo BUG lanciamo il comando:

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

In base all’output del comando possiamo vedere se il nostro sistema è vulnerabile o meno

Se Vulnerabile l’output sarà:

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Non Vulnerabile:

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

Per fixare basta aggiornare il pacchetto bash sula propria distribuzione.

Per ArchLinux

# pacman -Syu bash

Per CentOS/RHEL

# yum update bash -y

Proxmox => 2.x

Aggiungere al file /etc/apt/sources.list le righe:

#LTS security
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

salvare e lanciare il comando:

# apt-get update && apt-get install bash

Aggiornate mi raccomando!

Save

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *