Google

 


In questo blog (www.maury.it/blog)

Nel mio sito (www.maury.it)

In tutto il web


sabato 27 settembre 2014

ShellShock: "grave" vulnerabilità informatica sui sistemi Unix-like (compreso MacOSX)

Sta circolando da qualche giorno la notizia di una falla grave rilevata nei sistemi Unix e simili; in particolare nella shell Bash (per maggiori dettagli ne ha parlato anche Attivissimo qui).
La falla permette a malintenzionati di eseguire linee di codice malevolo collegandosi via internet al PC vulnerabile.

Per verificare la vulnerabilità della vostra versione, basta digitare da shell:

env x='() { :;}; echo vulnerabile' bash -c "echo prova"

Se otterrete il messaggio
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'

potete stare tranquilli; la versione vostra di Bash è già corretta. Se, invece, otterrete un "vulnerabile", allora conviene procedere a patchare la falla.

Le maggiori distribuzioni Linux hanno già corretto e rilasciato i relativi aggiornamenti. Molte altre lo faranno probabilmente nei prossimi giorni.


Ma veniamo agli utenti MacOSX.

Se non usate la shell (tipo il Terminal) o servizi server potete stare sicuri anche senza essere aggiornati. La falla, infatti, in questo caso non è sfruttabile da pirati malintenzionati.

In tutti i modi, soprattutto per chi ha versioni del sistema di Apple non più supportato (Tiger, Leopard, ecc.), la soluzione più facile per autoproteggersi è quella di aggiornare la Bash tramite Fink.

Una volta installato Fink, da un terminale basta comporre i comandi:

fink selfupdate

e successivamente

fink install bash


Una volta finita la compilazione e l'installazione, chiudere tutti i terminali e riavviateli.


A questo punto rifate la prova sopra per sicurezza, ma dovrebbe essere tutto ok.


Fonte immagine:
http://ilquotidianoinclasse.ilsole24ore.com/2013/01/gli-impensabili-traguardi-della-pirateria-informatica

Altra soluzione un po' più elaborata:
http://tenfourfox.blogspot.it/2014/09/bashing-bash-updated-powerpc-os-x-bash.html
http://tenfourfox.blogspot.it/2014/09/bashing-bash-one-more-time-updated.html


Etichette: , , ,