Shellshock bug: nuovi problemi per i sistemi Linux

Dopo la tempesta causata dal bug Heartbleed che ha colpito numerosi programmi basati su OpenSSL, ora è di nuovo bufera per un altrettanto grave problema che affligge sempre il mondo Linux e OpenSource: il bug Shellshock colpisce la bash, l’interprete dei comandi standard su quasi tutti i sistemi Linux (e anche alcuni Unix).

La criticità della bash è stata pubblicata il giorno 24 settembre 2014 (CVE-2014-6271, CVE-2014-7169) e dimostra come si potenzialmente semplice sfruttare questo bug e di quanto sia talmente grave da guadagnarsi la classificazione di massima pericolosità da parte del NIST.

Tra l’altro gli effetti sul medio/lungo periodo sono ancora tutti da valutare considerando anche che non è neppure chiarissimo da quanto tempo sia presente e cosa possa aver colpito nel frattempo.

Questo banale script di shell verifica se il sistema ha una bash affetta dal problema:

MALICIOUS='() { echo "This is a function definition";}; echo "You have been hacked!"'

Il bug colpisce le versioni di Bash dalla 1.14 alla 4.3 inclusa, e in meno di un giorno erano già disponibili le patch di aggiornamento per le più popolari distro Linux come Red Hat Enterprise, Fedora, CentOS, Ubuntu, Debian, … Alncune community hanno però sollevato qualche dubbio sull’efficacia delle patch già rilasciate, che sembrano essere più un tentativo di prendere tempo prima di trovare una soluzione definitiva.

Ma le distribuzioni più datate rimangono potenzialmente affette al problema (dimostrando che forse un ciclo di sviluppo troppo compulsivo e breve può causare più problemi che vantaggi): non è neppure semplice pensare di togliere bash, visto che molti script di avvio dipendono da essa (è più realistico sostituirla con una versione binaria aggiornata).

Sistemi invece embedded non hanno potenzialmente problemi: in questi sistemi raramente è presente la bash… sono comunque da verificare.

E ovviamente tutti i sistemi su cloud pubblici potrebbero essere affetti: se usufruite di servizi in IaaS l’aggiornamento della bash è vostro carico e conviene applicare le patch il prima possibile.

Rimangono le perplessità su come siano possibili simili leggerezze e simili gravità in un modo dove il codice aperto dovrebbe essere garanzia di qualità (se non altro il problema era evidente, ma nessun programmatore se ne era accorto). Forse la sicurezza non si sposa con il modello a Bazar, ma più con un modello a cattedrale. O forse veramente il mondo dell’OpenSource e FreeSoftware dovranno evolversi verso modelli più maturi.

Questo post è stato visto 2906 volte!

Posted on Settembre 28, 2014 at 3:24 pm by amauro · Permalink
In: Linux, OpenSource