Nel settembre 2014 è stata pubblicizzata una falla presente nella bash che può consentire, in determinate circostanze, l’esecuzione di comandi arbitrari da remoto senza necessitare di autenticazione.
Alcuni link relativi al tema:
https://nvd.nist.gov/vuln/detail/CVE-2014-6271 https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-enviro...
Come verificare se la bash installata è vulnerabile:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test
Ho aggiornato tutti i server Debian “recenti” in questo modo (pescando direttamente dai repository ufficiali):
apt-get update apt-get install bash
Su alcuni server “obsoleti” è stata installata una versione static (patchata) del pacchetto bash:
http://ftp.linux.it/pub/People/md/bash/
Ritengo i pacchetti affidabili in quanto mi fido del lavoro di Marco d’Itri
http://it.linkedin.com/in/rfc1036
wget http://ftp.linux.it/pub/People/md/bash/bash-static_3.2-4.2_i386.deb (per la versione a 32bit) wget http://ftp.linux.it/pub/People/md/bash/bash-static_3.2-4.2_amd64.deb (per la versione a 64bit) dpkg -i bash-static_3.2-4.2_i386.deb mv /bin/bash /bin/bash.originale chmod 000 /bin/bash.originale ln -sf /bin/bash-static /bin/sh ln -sf /bin/bash-static /bin/bash
Sarebbe possibile disattivare bash e utilizzare dash… ma la soluzione è stata scartata in quanto alcuni software (es. assp e qmail si appoggiano a bash per alcune operazioni specifiche):
- modificare il contenuto di /etc/passwd e sostituire per tutti gli utenti bash con sh - disabilitare bash ln -sf /bin/dash /bin/sh mv /bin/bash /bin/bash.originale chmod 000 /bin/bash.originale