Falha no Bash expõe máquinas com sistemas baseados em UNIX

Iniciado por jkmsjq, 25 de Setembro de 2014, 17:48

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

jkmsjq

25 de Setembro de 2014, 17:48
Notícia publicada no site INFO On-line, informa que uma brecha de segurança no bash foi detectada, podendo favorecer os S.O. baseados em UNIX a terem vulnerabilidades.

Leiam a matéria na íntegra:

CitarUsuários de Linux e outros sistemas operacionais baseados em UNIX (as distribuições e o OS X, por exemplo) ganharam algo a mais para se preocupar nesta quarta. Especialistas em segurança da Red Hat divulgaram no blog da empresa a descoberta de uma vulnerabilidade no Bourne Again Shell, o GNU Bash, que permite a execução de códigos no momento em que o interpretador de comandos é invocado – seja pelo usuário ou por algum software.

De acordo com o site Ars Technica, a brecha foi encontrada pelo especialista Stéphane Schazelas e está "relacionada à forma como o Bash processa variáveis de ambiente passadas pelo sistema operacional ou por um programa que solicita um script bash-based". Ela afeta as versões de 1.14 a 4.3 do shell e é ativada quando ele é aberto e um "código extra é adicionado ao fim das suas definições de funções", como explicam os especialistas da Red Hat.

Como há um bom número de aplicações que solicitam o Bash – que faz a interface com o kernel do sistema operacional –, dá para imaginar o tamanho do problema. A distribuidora de soluções baseadas em Linux cita o caso de clientes DHCP, por exemplo, que solicitam shell scripts para configurar o sistema. Se esses comandos vêm de um servidor DHCP afetado pela brecha, torna-se possível rodar comandos diversos na máquina em que está o cliente.

Correções para a vulnerabilidade já foram liberadas pelos responsáveis por algumas das principais distribuições de Linux, como o Red Hat Enterprise Linux, o Fedora, o Ubuntu, o CentOS e o Debian. É bom atualizá-los o quanto antes. A Apple ainda está devendo uma correção para o OS X, mas um pequeno update deve ser liberado em breve, como apontou o Ars Technica.

Apesar da menor divulgação, o problema já foi considerado pelo especialista Robert Graham como "tão grande quanto o Heartbleed", encontrado no OpenSSL em abril deste ano. Muito disso se deve fato de que o "bug interage com outros programas de formas inesperadas", como ele explica no blog.

Mas os problemas podem se estender até aos dispositivos mais antigos e aos relacionados à Internet das Coisas (como roteadores, lâmpadas e tantos outros), que provavelmente não receberão patches de correção para a falha – e interagem com scripts Bash para rodar comandos. Ou seja, é possível que servidores fiquem livres do bug, mas vários outros aparelhos "menos importantes" não – e o cenário previsto por Graham não bom. Vale checar o texto aqui e entender melhor a brecha aqui.

FONTE: Revista INFO On-line
LinuxUser: 548942 / Dando um tópico como resolvido
"A verdade só é agressiva a quem vive de mentiras". Autor desconhecido.
Twitter: @jeisonkertesz

garfo

#1
25 de Setembro de 2014, 19:25
Aqui já tá corrigido. No br-linux eles disponibilizam um comando pra testar se está vulnerável ou não.  :)
Garfo -  linux
"Pra quê complicar? Facilidade e simplicidade é tudo!"

dadopaz

#2
25 de Setembro de 2014, 22:16
Já saiu a correção para o Ubuntu. Falha corrigida.

flavio1357gomes

#3
26 de Setembro de 2014, 09:34
Gente,assistí hoje várias entrevistas de especialistas em TI mostrando que foi descoberto um Bug nos sistemas operacionais Unix,Linux e do da Apple sendo usado por Crackers para acessasr computaores que usam esses sistemas operacionais para roubar senhas de cartões de crédito e de contas de bancos,estou pedindo informações a usuários e a equipe ubuntu sobre isso,pois faço compreas usando cartão de crédito e acesso conta em banco pela WWW e fiquei preocupado com essa reportagem e quero evitar ser roubado,espero um resposta. ???
"Conhecereis a verdade e a verdade vos libertará."

Tota

#4
26 de Setembro de 2014, 10:13
Se tivesse acompanhado ontem teria visto isto => http://ubuntuforum-br.org/index.php/topic,114836.msg633859.html#msg633859

Você não será "roubado".

flavio1357gomes

#5
26 de Setembro de 2014, 10:18 Última edição: 26 de Setembro de 2014, 10:31 por flavio1357gomes
Citação de: Tota online 26 de Setembro de 2014, 10:13
Se tivesse acompanhado ontem teria visto isto => http://ubuntuforum-br.org/index.php/topic,114836.msg633859.html#msg633859

Você não será "roubado".Voçê tem razão Tota,mas lí o tutorial sugerido,fiz o recomendado,mas ocorreu o seguinte:
Lí o tutorial no BR-Linux.org e executei o seguinte comando no terminal:flavio@flavio-32bits-Ubuntu14:~$ sudo env x='() { :;}; echo vulneravel' bash -c 'false'
[sudo] password for flavio:
bash: aviso: x: ignoring function definition attempt
bash: erro ao importar a definição da função para `x'
Peço ajuda para saber o que fiz de errado.
Pesquisei na internet e descobri o seginte código que usei para testar o Bash do Ubuntu 14.04,segui:flavio@flavio-32bits-Ubuntu14:~$ env x='() { :;}; echo vulnerable' sh -c "echo this is a test"
this is a test
flavio@flavio-32bits-Ubuntu14:~$
"Conhecereis a verdade e a verdade vos libertará."

hugoleal85

#6
26 de Setembro de 2014, 10:18
De ontem pra hoje já saíram umas três atualizações desse pacote.

A última instalei agora pela manhã, por volta das 08h30.
"Cada homem que encontro é superior a mim em alguma coisa; e nisto posso aprender dele." [Ralph W. Emerson]
Meu blog

irtigor

#7
26 de Setembro de 2014, 12:37
Citação de: flavio1357gomes online 26 de Setembro de 2014, 10:18
Peço ajuda para saber o que fiz de errado.

Nada, você está rodando o bash que já tem a correção.
Imprimir
Ir para Topo Páginas1
Ações