Menu Chiudi

Pillola #61: Disattivare BASH per impedire attacchi CVE-2014-6271 – ShellShock

Nel settembre 2014 è stata pubblicizzata una falla presente nella bash che può consentire, in determinate circostanze, l’esecuzione di comandi arbitrari da remoto senza necessitare di autenticazione.

Alcuni link relativi al tema:

https://nvd.nist.gov/vuln/detail/CVE-2014-6271
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-enviro...

Come verificare se la bash installata è vulnerabile:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

Ho aggiornato tutti i server Debian “recenti” in questo modo (pescando direttamente dai repository ufficiali):

apt-get update
apt-get install bash

Su alcuni server “obsoleti” è stata installata una versione static (patchata) del pacchetto bash:
http://ftp.linux.it/pub/People/md/bash/
Ritengo i pacchetti affidabili in quanto mi fido del lavoro di Marco d’Itri
http://it.linkedin.com/in/rfc1036

wget http://ftp.linux.it/pub/People/md/bash/bash-static_3.2-4.2_i386.deb (per la versione a 32bit)
wget http://ftp.linux.it/pub/People/md/bash/bash-static_3.2-4.2_amd64.deb (per la versione a 64bit)
dpkg -i bash-static_3.2-4.2_i386.deb
mv /bin/bash /bin/bash.originale
chmod 000 /bin/bash.originale
ln -sf /bin/bash-static /bin/sh
ln -sf /bin/bash-static /bin/bash

Sarebbe possibile disattivare bash e utilizzare dash… ma la soluzione è stata scartata in quanto alcuni software (es. assp e qmail si appoggiano a bash per alcune operazioni specifiche):

- modificare il contenuto di /etc/passwd e sostituire per tutti gli utenti bash con sh
- disabilitare bash
ln -sf /bin/dash /bin/sh
mv /bin/bash /bin/bash.originale
chmod 000 /bin/bash.originale
WordPress Appliance - Powered by TurnKey Linux