ShellShock: "grave" vulnerabilità informatica sui sistemi Unix-like (compreso MacOSX)
Sta circolando da qualche giorno la notizia di una falla grave rilevata nei sistemi Unix e simili; in particolare nella shell Bash (per maggiori dettagli ne ha parlato anche Attivissimo qui).
La falla permette a malintenzionati di eseguire linee di codice malevolo collegandosi via internet al PC vulnerabile.
Per verificare la vulnerabilità della vostra versione, basta digitare da shell:
env x='() { :;}; echo vulnerabile' bash -c "echo prova"
Se otterrete il messaggio
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
potete stare tranquilli; la versione vostra di Bash è già corretta. Se, invece, otterrete un "vulnerabile", allora conviene procedere a patchare la falla.
Le maggiori distribuzioni Linux hanno già corretto e rilasciato i relativi aggiornamenti. Molte altre lo faranno probabilmente nei prossimi giorni.
Ma veniamo agli utenti MacOSX.
Se non usate la shell (tipo il Terminal) o servizi server potete stare sicuri anche senza essere aggiornati. La falla, infatti, in questo caso non è sfruttabile da pirati malintenzionati.
In tutti i modi, soprattutto per chi ha versioni del sistema di Apple non più supportato (Tiger, Leopard, ecc.), la soluzione più facile per autoproteggersi è quella di aggiornare la Bash tramite Fink.
Una volta installato Fink, da un terminale basta comporre i comandi:
fink selfupdate
e successivamente
fink install bash
Una volta finita la compilazione e l'installazione, chiudere tutti i terminali e riavviateli.
A questo punto rifate la prova sopra per sicurezza, ma dovrebbe essere tutto ok.
Fonte immagine:
http://ilquotidianoinclasse.ilsole24ore.com/2013/01/gli-impensabili-traguardi-della-pirateria-informatica
Altra soluzione un po' più elaborata:
http://tenfourfox.blogspot.it/2014/09/bashing-bash-updated-powerpc-os-x-bash.html
http://tenfourfox.blogspot.it/2014/09/bashing-bash-one-more-time-updated.html
Etichette: Fink, informatica, MacOSX, sicurezza