E’ stato scovato da RedHat un pò di tempo fa un BUG sulla BASH Linux, ritenuto da molti più pericoloso di Heartbleed. Questo subito soprannominato Shellshock. Sembrerebbe un BUG di almeno 20 anni, in cui nessun sistema Linux o UNIX sia salvo. Il problema di sicurezza è stato individuato nel modo in cui la shell gestisce le variabili di ambiente, sfruttando codice extra alla fine della definizione delle funzioni all’interno delle variabili. E’ già stato rilasciato in ogni modo l’aggiornamento per il paching del problema.
Per vedere se nel nostro sistema è presente questo BUG lanciamo il comando:
# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
In base all’output del comando possiamo vedere se il nostro sistema è vulnerabile o meno
Se Vulnerabile l’output sarà:
# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Non Vulnerabile
:
# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
Per fixare basta aggiornare il pacchetto bash sula propria distribuzione.
Per ArchLinux
# pacman -Syu bash
Per CentOS/RHEL
# yum update bash -y
Proxmox => 2.x
Aggiungere al file /etc/apt/sources.list le righe:
#LTS security deb http://http.debian.net/debian/ squeeze-lts main contrib non-free deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free
salvare e lanciare il comando:
# apt-get update && apt-get install bash
Aggiornate mi raccomando!