Il punto su Shellshock: siamo quasi a posto

Sicurezza

Non una ma molteplici patch sistemano la falla Shellshock

La vulnerabilità Shellshock di Bash (Bourne Again SHell), portata alla luce nella seconda metà di settembre, dispone ora non di una ma di molteplici patch.

Il mondo del web è rimasto sconvolto dalla falla denominata Shell Shock che va a toccare l’interprete di comandi ( shell Unix ) Bash presente in diversi sistemi. Bash è un interprete di comandi che si trova sulla parte superiore del sistema operativo Unix e consente agli utenti di digitare un comando in formato testo e convertirlo in comandi a cui il sistema operativo dovrà rispondere. E’ utilizzato in Linux e MAC OS (OS X). E’ stato rilasciato 25 anni fa.
A poco a poco ognuna della vulnerabilità di Bash è stata sistemata . Ma Red Hat , un nome importante nel mondo Linux, mette in guarda sul fatto che alcune patch rilasciate inizialmente non mettono totalmente al riapro da problemi di accesso a certi servizi e applicazioni che possono essere ancora sfruttate dagli hacker.

shellshock-rob-graham-twitter

Le vulnerabilità Shellshock son particolarmente rischiose per il fatto che se gli attaccanti riescono a sfruttare le vulnerabilità della shell possono entrare da remoto e poi eseguire codice su in un sistema vulnerabile.
E non si tratta di un teoria . Infatti le falle sono sfruttate dagli hacker. FireEye ha rilevato un aumento significativo di traffico maligno che fa leva su Bash.
Shellshock è stato paragonato a Heartbleed che ha colpito i sistemi all’inizio dell’anno. Con Heartbleed è stata messa a rischio le libreria di crittografia open source Open SSL. Mentre alcuni esperti prendevano lo spunto per segnalare ancor una volta la debolezza di uno sviluppo di codice in modalità open source, la Linux Foundation si mobilitava per fornire nuovo supporto a Open SSL e migliorarne la sicurezza.

Anche il programma Bash è legato alle attività della Free Software Foundation (FSF), che ancora una volta dichiara che il software open source è in grado di far fronte agli incidenti di sicurezza in maniera efficiente.
Un una nota FSF si legge: “ Il software free non può garantire la sicurezza e in alcune situazioni può apparire meno sicuro di alcuni programmi proprietari. Come ha dimostrato il caso del bug di OpenSSL la soluzione sta nel mettere energia e risorse nel monitorare e migliorare i programmi free”.

Nel caso della vulnerabilità Shell shock gli amministratori di sistemi basati su Linux potrebbero aver già mitigato la vulnerabilità con un’altra tecnologia open source nota come SELinux (Security-Enhanced Linux). Semprw secondo gli esperti di Red Hat se opportunamente configurato con SELinux un sistema può essere be protetto dall’exploit Shellshock.

 

Read also :
Autore: Silicon
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore