I ricercatori di sicurezza hanno identificato una nuova, pericolosa vulnerabilità nell’interprete di comandi GNU Bash che potrebbe teoricamente avere conseguenze peggiori persino del già “catastrofico” baco in OpenSSL meglio noto come Heartbleed.
Il bug, ben dettagliato nel National Vulnerability Database, consiste in una gestione non corretta di un certo tipo di variabili d’ambiente contenenti codice eseguibile al posto di stringhe di testo, così che un malintenzionato potrebbe sfruttare la vulnerabilità per impartire e far eseguire comandi alla shell anche agendo da remoto e senza necessità di autenticazione al server.
La pericolosità del baco deriva dalla presenza ubiqua di Bash, un componente software GNU diffuso su ogni genere di sistema *nix compresi i figli e figliastri di Unix, i sistemi operativi basati su Linux, Mac OS X e un gran numero di dispositivi connessi in rete. Almeno in questo caso, gli unici a non avere problemi dovrebbero essere gli utenti del sistema operativo Windows.
Gli sviluppatori si sono subito attivati per chiudere il bug e distribuire una versione aggiornata di Bash, mentre per testare la presenza della vulnerabilità in un server o un dispositivo remoti accessibili tramite URL è disponibile on-line il sito Shellshocker.net. Sui 15275 test eseguiti al momento di scrivere, il servizio ha già individuato 284 host vulnerabili.
Via | Shellshocker
/https://www.html.it/app/uploads/2023/12/Android.jpg)
/https://www.html.it/app/uploads/2024/01/e-mail.png)
/https://www.html.it/app/uploads/2024/01/Microsoft-4.jpg)
/https://www.html.it/app/uploads/2024/01/PC.jpg)