Vulnerabilitate Bash “Shellshock” bug pe Linux/MacOS


Cu toate ca auzim din ce in ce mai rar de vulnerabilitati si brese de securitate pe serverele ce ruleaza pe Linux sau pe sistemele de operare de la Apple, un caz recent a fost descoperit de catre exertii in probleme de securitate.

Shellshokbug este o vulnerabilitate a sistemelor informatice ce ruleaza pe sisteme de operare UNIX based. Practic, prin vulnerabilitatea descoperita, codul poate sa fie executat cand Shell-ul este lansat, dar inainte de lansarea lui propriu-zisa. Prin urmare, aceasta vulnerabilitate este considerata a fi la fel de grava ca Heartbleed, o alta alta bresa de securitate descoperita la inceputul acestui an in software-ul OpenSSL, ce se foloseste pentru a securiza conexiunile dintre clienti si servere.

Un purtator de cuvant de la Apple sustine insa ca OS X nu va fi afectat, deoarece este construit securizat, special pentru a preintampina aceasta problema, insa exista probabilitatea ca o mica parte din utilizatori sa fie afectati (cele mai afectate ar fi camerele video), insa, in curand, se va lansa un update pentru a corecta software-ul.

Aceeasi problema poate exista si la serverele cu sistemul de operare Linux cu Bash. Desi vulnerabilitatea există doar într-o combinație anume de factori și necesită accesul in sistem, deja exista numeroare speculatii. Din acest motiv toți cei ce folosesc un server Linux cu Bash sunt sfătuiți să facă rapid update-ul la cel mai recent pachet.

Distribuțiile afectate care au publicat deja patch-uri sunt RedHat / CentOS (4 .7), Fedora, Ubuntu (10.0.4 LTS, 12.04 LTS, 14.04 LTS) și Debian.

De exemplu, pe servere Linux cu Apache, dacă sunt folosite script-uri mod_cgi sau mod_cgid scrise în Bash, vulnerabilitatea poate să fie destul de periculoasă. De altfel, tot prin intermediul acesteia, se poate trece de ForceCommand în sshd. Insa serviciile oferite prin SSH nu sunt afectate, întrucât utilizatorii ce se conectează de la distanță au oricum posibilitatea de a rula orice comenzi.

În momentul de față, majoritatea distribuțiilor de Linux au inclus în actualizările de securitate un patch ce se adresează acestei vulnerabilitati și se asigură că nu este permisă includerea de comenzi la sfârșitul definirii unei funcții Bash. Prin urmare, dacă rulați o comanda pe un sistem ce are toate actualizările, mesajul primit de la Bash ar trebui să fie similar cu:
$ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test

Mxhost a luat toate masurile de siguranta in ceea ce priveste aceasta vulnerabilitate pentru toate serverele, facand toate update-urile necesare.


Lasa un mesaj