Il bug Shellshock, peggio di Heartbleed. Come evitarlo.

Tutti i sistemi Unix-based che utilizzano la shell bash sono affetti dal bug Shellshock, che permette di iniettare codice all’interno delle variabili d’ambiente, con effetti potenzialmente devastanti.

Sono affette tutte le versioni di bash dalle versioni 1.X, che effettuano il parsing delle variabili d’ambiente.

Per controllare se la propria shell è affetta, è sufficiente dare il seguente comando:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Se l’output è

vulnerable
this is a test

il sistema è vulnerabile.

Per aggiornare la propria distribuzione si faccia riferimento alle istruzioni specifiche. Riportiamo le versioni “sane” per le maggiori distribuzioni:

Debian GNU/Linux wheezy: bash-4.2+dfsg-0.1+deb7u1
Ubuntu 14.04: 4.3-7ubuntu1.1
Red Hat Enterprise Linux 7: bash-4.2.45-5.el7_0.2