E’ stata scoperta da poco una grossa falla sui sistemi basati su Unix, esattamente nella shell Bash. Si chiama Shellshock ed è presente da molto tempo. E’ stato considerato molto più rischioso di Heartbleed perché può colpire innumerevoli dispositivi, infatti gran parte della tecnologia si basa su questa shell: router, pc, webcam, server, etc. Sebbene Red Hat e Fedora abbiano già rilasciato una prima patch per aggirare questo bug, molti dispositivi potrebbero essere a rischio per sempre, poiché, come sappiamo, i dispositivi datati non ricevono aggiornamenti firmware, né tanto meno una patch. Il bug è facile da sfruttare, basta eseguire poche righe. Un semplice script potrebbe quindi infettare e danneggiare molteplici pc, dispositivi e addirittura server.
Verifica del bug
Per sapere se il vostro sistema è fallato, basta lanciare un terminale ed eseguire
env x='() { :;}; echo vulnerabile' bash -c "test shellshock"
Apparirà vulnerabile se il sistema è fallato, altrimenti vedrete le seguenti righe
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' test Shellshock
A questo punto dovrebbe bastare aggiornare per avere la patch e probabilmente nei giorni a seguire ne arriveranno altre.
Per quanto riguarda i Mac, la verifica è identica ma la patch non è stata rilasciata. E’ comunque possibile provare a ricompilare Bash.
Fonti: hwupgrade.it – attivissimo.blogspot.it
Maggiori info: RedHat