Dopo il bug dei mesi scorsi relativo a OpenSSL e conosciuto con il nome “Heartbleed“, da qualche giorno è stato lanciato in rete un nuovo allarme sicurezza per una falla che potrebbe mettere a rischio tutti i sistemi Unix/Linux based.
Il nome “ShellShock” (o Bash Bug) è evocativo perché fa riferimento all’utility di shell Bash, in parole povere il terminale o meglio l’interfaccia utilizzata dall’utente per inviare i comandi al sistema e quindi utilizzato praticamente in tutti gli apparati basati sul sistema operativo del pinguino e non solo perché, per questa problematica, si parla anche di Mac OS X.
Inoltre, non parliamo esclusivamente di server ma anche di firewall, videocamere, router, semplici PC e apparati network in genere, ovunque in pratica sia installata e venga utilizzata la shell Bash.
Dopo la scoperta da parte di Red Hat che ha prontamente rilasciato i fix di sicurezza per i propri sistemi operativi, anche per Debian e Ubuntu sono già disponibili gli aggiornamenti. Purtroppo si tratta di un bug vecchio e pertanto potrebbero subirne gli effetti moltissimi sistemi (ad esempio le videocamere IP o i vecchi router) su cui non sarà mai disponibile un aggiornamento o una patch di sicurezza.
La situazione quindi non è delle migliori semplicemente per questo fatto: il problema non saranno i server ma i numerosi dispositivi che con semplici installazioni Linux si occupano della gestione di apparati che non sono propriamente dei computer anche se l’importante è che non siano presenti demoni come Apache che richiamano script in CGI che comunemente invocano la shell. In questi casi ci sarà poco da fare anche se non sarà immediato e quindi alla portata di tutti sfruttare tale vulnerabilità.
A parte questi dettagli generici, utili più che altro ad informare i nostri utenti, quello che maggiormente ci interessa comunicare è che innanzitutto tutti i nostri server sono già stati patchati ma che tale operazione andrebbe fatta al più presto su tutti i server dei nostri clienti non amministrati e gestiti direttamente dal nostro personale tecnico.
Quindi chi ha un contratto attivo di gestione, amministrazione e manutenzione server non deve preoccuparsi di nulla perché il nostro supporto ha già sicuramente provveduto ad installare la patch relativa al sistema operativo Linux utilizzato ma chi si occupa della gestione (server unmanaged) dovrebbe al più presto prendere provvedimenti o in alternativa contattarci per chiedere un consiglio in merito.
E’ possibile intanto verificare velocemente se il server è vulnerabile digitando i comandi seguenti:
env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’
Se non è vulnerabile si otterrà la risposta seguente:
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ hello
altrimenti, se è vulnerabile:
vulnerable hello
E’ possibile verificare la versione di Bash digitando:
bash –version
e se si otterrà in risposta “3.2.51(1)-release” sicuramente sarà necessario effettuare un aggiornamento.
In alternativa è possibile utilizzare anche uno dei numerosi tool online per la verifica della vulnerabilità ma il consiglio che vogliamo dare innazitutto ai nostri clienti, è quello di contattarci e chiedere consiglio ai nostri sistemisti.
Lascia un commento