È stata soprannominata "ShellShock" e si tratta di una grave falla di sicurezza scoperta in ambiente Unix/Linux. Il difetto, segnalato dal team di sicurezza di Red Hat, risiede nel modo in cui l'interprete di comando Bash gestisce l'inizializzazione delle variabili: assegnando opportunamente nomi di funzione, un utente ostile potrebbe riuscire a bypassare i meccanismi di sicurezza del sistema operativo e prenderne pieno controllo.
Per verificare se la propria installazione è vulnerabile basta lanciare env x='() { :;}; echo vulnerable' bash -c "echo this is a test" e verificare la risposta: in caso si ottenga un messaggio di errore, il sistema è al sicuro. Al contrario, se viene stampata una stringa è necessario prepararsi ad installare uno degli aggiornamenti che verranno distribuiti nelle prossime ore.
Un approfondimento sul problema (in inglese) è disponibile qui.
Nei giorni seguenti alla scoperta della vulnerabilità originale sono emersi almeno altri due problemi di natura simile, per correggere i quali è necessario installare ulteriori update. In ambiente Red Hat e derivate, la versione del pacchetto Bash raccomandata è ora la 4.1.2-15.el6_5.2
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]