Negli ambienti del settore già da qualche giorno si parla della nuova, pericolosissima, falla di sicurezza che riguarda Bash (Bourne Against SHell), il programma della “consolle” presente praticamente su ogni sistema *nix moderno.
La vulnerabilità, tecnicamente chiamata CVE-2014-6271 e classificata con la massima severità possibile (10/10), riguarda tutte le
GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution.
Praticamente, senza scendere troppo nel tecnico (sono disponibili in rete numerosi documenti tecnici per chi volesse approfondire), sfruttando un buffer overflow causato da un loop ricorsivo sfruttando le funzioni di scripting di Bash, è possibile eseguire comandi (codice) arbitrario sul sistema attaccato.
Per sapere se il vostro sistema *nix è vulnerabile, eseguite questa riga direttamente sulla bash:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Se viene restituita la dicitura “vulnerable”, il proprio sistema è vulnerabile a questo attacco ed è necessario aggiornarlo.
E’ di fondamentale importanza procedere il prima possibile all’aggiornamento di tutti i server di rete sotto la propria gestione, con particolare attenzione a quelli che offrono servizi via web: sono già disponibili, pubblicamente, alcuni proof-of-concept per attacchi via cgi-bin.
Per sapere la versione di bash installata sul proprio sistema, digitare da consolle:
bash --version
Aggiornare il proprio sistema
Debian squeeze
E’ necessario aggiungere il repository LTS alla lista in /etc/apt/sources.lst:
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free
seguito dai canonici comandi ‘apt-get update && apt-get upgrade‘.
Debian wheezy
A quanto pare, per la Wheezy hanno già provveduto ad aggiornare il pacchetto nei repository ufficiali: https://www.debian.org/security/2014/dsa-3032
Ubuntu
Informazioni su come aggiornare il proprio sistema su: http://www.ubuntu.com/usn/usn-2362-1/
Linux Mint
I repository ufficiali sono stati aggiornati con la GNU bash, versione 4.3.25(1) a decorrere dal 30.09.2014: aggiornate il sistema e verificate, con lo script di verifica, di non essere più vulnerabili.