Shellshock: falha de segurança grave no Bash afeta máquinas com Linux e OS X
[hr]
Uma falha de segurança grave no Bash (interpretador de comandos bastante usado em sistemas operacionais baseados em Unix)
De acordo com os especialistas em segurança, esta vulnerabilidade é tão perigosa quanto aquela do
Heartbleed, que afetou milhões de sites na internet e provavelmente foi usada pela NSA para espionar usuários.
[hr]
O Bash é o shell padrão em muitos sistemas operacionais baseados em Unix, o que inclui distribuições Linux e o OS X. Red Hat, CentOS, Ubuntu e Debian já ganharam correções de segurança, mas, no momento em que escrevo este parágrafo,
o OS X 10.9.5, última versão disponível, está vulnerável
Para descobrir se uma máquina é afetada, basta rodar o seguinte comando no terminal:
env x='() { :;}; echo vulnerável' bash -c "echo teste"
Se a palavra “vulnerável” aparecer, isso significa que a máquina está… vulnerável. Caso contrário, o Bash retornará uma mensagem de erro.
[hr]
![[IMG]](https://tecnoblog.net/wp-content/uploads/2014/09/bash-falha-700x442.png)
Vulnerável: cuidado!
[hr]
![[IMG]](https://tecnoblog.net/wp-content/uploads/2014/09/bash-ok-700x442.png)
Pode ficar mais tranquilo
[hr]
Quando explorada, a falha permite que um código malicioso seja executado assim que o shell é aberto, o que deixa a máquina exposta a uma série de ataques.
E inúmeros softwares interagem com o shell de diferentes maneiras — ele é frequentemente usado pelo Apache para gerar páginas dinâmicas, por exemplo, e a brecha também pode ser explorada por meio do OpenSSH,
como informa o Ars Technica. Pesquisadores dizem que a falha deve continuar “por anos”.
As principais distribuições Linux já corrigiram o problema, e a Apple deve soltar uma atualização de segurança para o OS X, mas há inúmeros outros dispositivos que usam sistemas operacionais baseados em Unix e o Bash — como eletrônicos portáteis, câmeras conectadas à internet e muitas, muitas outras coisas (talvez até o seu roteador).
As pessoas aprenderam que o nome “Heartbleed” foi fundamental para chamar a atenção de pessoas “comuns” sobre a falha no OpenSSL no início do ano — ela chegou a ser noticiada nos telejornais (e você sabe como a cobertura de tecnologia neles é bem restrita). A brecha no Bash é tão ruim quanto a do Heartbleed, e estão chamando-a de “Shellshock”.
[hr]
Pedido por : [member='Ernanik']
Fontes: tecnoblog.net
[hr]
