Nova vulnerabilidade com a dimensão do Heartbleed

Uma falha na interface de serviços Unix Bash deixa os sistemas operativos OS X e Linux, mais inseguros. Já existem correcções para o problema mas este poderá manter-se durante muito tempo

software-livreA investigadora de segurança da Akamai, Stephane Chazelas, descobriu uma falha devastadora na interface de serviços Unix Bash, que deixa desprotegidas as máquinas equipadas com sistemas operativos Linux, OS X, router, dispositivos mais antigos de Internet das coisas. A “Shellshock”, como foi denominada, permite a intrusos executarem código numa máquina depois de explorar a falha, mas o verdadeiro perigo liga-se à idade do problema: aparentemente foi escondida na interfacedurante anos.

Mas a sua importância vai mais além. Uma grande quantidade de dispositivos conectados à Internet, servidores de Internet, e a serviços baseados nela, são executados em distribuições Linux equipadas com a Bash. Os Mac OS X Mavericks também são afetados.

O facto de as origens da Shell Shock serem tão profundas significa que provavelmente a vulnerabilidade será encontrada em sistemas desactualizados no futuro próximo. Mas as hipóteses de isso afectar directamente as pessoas são pequenas, se usarem as precauções normais de segurança.

Apesar disso,Robert Graham, um investigador de segurança bastante respeitado, considera a falha tão importante quanto Heartbleed.
Numerosas distribuições de Linux avançaram também correcções,incluindo a Red Hat, Fedora, CentOS, Ubuntu, Debian.

Mas Graham diz que o perigo vai durar anos, em parte porque “uma enorme percentagem de software interage com a interface de alguma forma”. Jen Ellis da empresa de segurança Rapid7, tem, uma perspectiva menos alarmante.

“A vulnerabilidade parece terrível à primeira vista, mas a maioria dos sistemas com Bash instalado não será explorada remotamente, como resultado desta questão”, escreve Ellis. “A fim de explorar essa falha, o invasor precisa de ter a capacidade para enviar uma variável de ambiente maliciosa para um programa de interacção com a rede e este programa teria de ser implementada em Bash, ou gerar um sub-comando usando Bash”.

Como saber se você está vulnerável

Para testar se uma versão da Bash é vulnerável, a Red Hat recomenda a executação do seguinte comando:
$ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”

O sistema está vulnerável se responder com o seguinte:

vulnerable

this is a test




Deixe um comentário

O seu email não será publicado