I Mac sono vulnerabili al bug dello shellshock di Bash?

Red Hat ha recentemente annunciato un importante bug relativo alla sicurezza nella shell Bash. Alcuni lo chiamano bug "shellshock". Poiché OS X è basato su Unix, è vulnerabile agli attacchi che sfruttano questo bug?

Come utente finale, devo preoccuparmi di una soluzione immediata? O è meglio per me aspettare un aggiornamento software ufficiale da Apple?

Sì, sei tecnicamente vulnerabile. Quindi, se hai voglia di farti prendere dal panico o fatturare un cliente in preda al panico per qualche ora di panico, provaci!

Ma la realtà è che se non si consente l'accesso SSH da connessioni remote o un server Web che esegue scripting lato server, non si è a rischio. Sei veramente vulnerabile solo se qualcuno che non conosci può accedere in remoto al tuo computer e farlo in un modo in cui un comando Bash può essere eseguito.

Ciò significa che il tuo Mac desktop, che in realtà non esegue applicazioni server di alcun tipo, non corre alcun rischio serio. Sono disposto a mangiare qualche proverbiale "umile torta" qui, ma non credo che la maggior parte degli utenti Mac sarà a rischio alla fine della giornata.

Quindi questo problema riguarda principalmente gli amministratori di sistema su server Mac OS X e Unix / Linux esposti al mondo, non gli utenti desktop che non abilitano la condivisione SSH.

Forse c'è un rischio marginale di creare un malware o un virus Mac per sfruttare questo rischio, ma ne dubito.

EDIT: E solo per elaborare come questo problema - a mio modesto parere - non sia realmente un problema per la maggior parte degli utenti medi, sì, posso eseguire il seguente comando da bashMac OS X 10.9.5:

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

E vedo questo:

vulnerable
hello

Indovina un po? Questo è terrificante solo se non lo pensi razionalmente. Dovevo già aver effettuato l'accesso al mio Mac per aprire anche il Terminale. E per negare ciò che ho detto su SSH sopra, per arrivare al punto in cui posso eseguire questo test anche se SSH è abilitato, dovrei comunque essere loggato per cominciare. E poi, diciamo che ottengo l'accesso tramite SSH, il comando non mi consente di fare NIENTE oltre i miei normali diritti utente come questo:

env x='() { :;}; echo vulnerable' bash -c 'cat /etc/ssh_host_rsa_key'

Significa che se sei veramente vulnerabile all'essere sfruttato da questo hack, la tua sicurezza di base sul sistema dovrebbe essere così compromessa che il fatto che bashha un difetto è davvero il minimo dei tuoi problemi.

Questa è una preoccupazione da un problema generale di controllo e diritti in quanto potenziale per consentire l'accesso non intenzionale poiché il comportamento si estende al di fuori delle norme previste. Ma a mio modesto parere, non è un rischio alla pari di OpenSSL o della varietà del giardino "lasciami la mia password su una nota registrata sul mio schermo".

Alla fine della giornata continuo a correggere tutti i miei server Linux / Unix che eseguo come procedura standard. E sarà felice di patchare i Mac che gestisco una volta che è stata risolta una correzione. Ma per un uso quotidiano pratico, mi sento bene a non preoccuparmene, dal momento che non capisco come un difetto che non consenta privilegi utente elevati si sommi a tutto.

AGGIORNAMENTO: la parola ufficiale di Apple pubblicata qui ; enfasi mia:

"La stragrande maggioranza degli utenti di OS X non è a rischio di vulnerabilità di base recentemente segnalate", ha detto un portavoce di Apple a iMore. "Bash, una shell di comando UNIX e un linguaggio incluso in OS X, ha un punto debole che potrebbe consentire agli utenti non autorizzati di ottenere in remoto controllo dei sistemi vulnerabili. Con OS X, i sistemi sono sicuri per impostazione predefinita e non esposti a exploit remoti di bash a meno che gli utenti non configurino servizi UNIX avanzati. Stiamo lavorando per fornire rapidamente un aggiornamento software per i nostri utenti UNIX avanzati. "

Traduzione: Cosa ho detto sopra riguardo al fatto che si tratta di un problema del server e non di un problema del client? Esattamente.

A UDPATE FINALE: per chiunque abbia difficoltà a compilare dalla fonte, a partire dal 29 settembre, Apple ha rilasciato ufficialmente patch per Mac OS X 10.9.5, 10.8.5 e 10.7.5:

• Aggiornamento OS X bash 1.0 - OS X Mavericks
• Aggiornamento OS X bash 1.0 - OS X Mountain Lion
• Aggiornamento OS X bash 1.0 - OS X Lion

ANCORA UN ALTRO AGGIORNAMENTO FINALE: E ora Apple ha appena rilasciato un aggiornamento di sicurezza combinato che include anche l' bashaggiornamento !

Nota: l'aggiornamento per la protezione 2014-005 include il contenuto di sicurezza dell'aggiornamento 1.0 per OS X bash

Sì!

Digita questo nella tua shell

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Se dice vulnerableallora sei vulnerabile.

Se dice

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello

allora sei bravo.

Modifica: collegamento alla correzione

Come utente finale , controlla che:

• il tuo account ospite è spento:

  Preferenze di Sistema> Utenti e gruppi> Utente ospite
  

• il tuo sshaccesso è disattivato:

  Preferenze di Sistema> Condivisione> Accesso remoto
  

Per impostazione predefinita, entrambi sono disattivati ​​su Mavericks.

Come utente finale , è più sicuro attendere un aggiornamento ufficiale di sicurezza di Apple che risolva questa bashvulnerabilità.

Tutte le macchine Mac OS X sono tecnicamente vulnerabili a "Shellshock", fino a quando Apple non emette un aggiornamento di sicurezza che corregge bash, ma ...

La tua domanda dovrebbe essere: posso essere hackerato da remoto?

C'è così tanto software che usa bashdistrattamente che rispondere a questa domanda è estremamente difficile. Se sei preoccupato, suggerirei diverse modifiche System Preferencesper prevenire exploit remoti:

• Disabilita TUTTI i servizi di condivisione in Preferenze di condivisione.
• Abilita il firewall in Sicurezza e privacy.

Se sei particolarmente preoccupato, premi il Firewallpulsante Opzioni per:

• Deseleziona Automatically allow signed software to receive incoming connections.
• Controllare Block all incoming connections.

C'è ancora una buona probabilità che tu sia vulnerabile ad un attacco di livello usando DHCP, Bonjour, ecc., Ma hey se hai bisogno di un altro servizio, ovviamente puoi lasciarlo in esecuzione mentre speri che non venga sfruttato. E dovrai anche lasciare il firewall più aperto. Probabilmente andrà bene se la tua macchina vive dietro un altro firewall.

Inoltre, ci sono attacchi di escalation di privilegi locali abilitati da "Shellshock?" Sì, quasi sicuramente. Non mi preoccuperei però perché Mac OS X ha abbastanza attacchi simili. Apple non corregge rapidamente i bug dell'escalation dei privilegi locali. E Apple li crea frequentemente con i servizi abilitati per Apple Script. Supponi solo che tutte le macchine Mac OS X siano sempre vulnerabili agli attacchi locali. Se hai bisogno di partecipare a conferenze di hacker come DEFCON, acquista una scatola Linux a tale scopo.

Aggiornamento: ci sono istruzioni per ricompilare la tua bash fissa e anche altre domande trattate . Lo farò da solo, ma IMHO è eccessivo se non si esegue alcun server e si mantiene comunque attivo il firewall di Apple.

Aggiornamento: se hai dimestichezza con l'uso del terminale, c'è un programma chiamato execsnoopmenzionato qui che ti consentirà di verificare se bash viene solitamente chiamato dai processi del tuo server. Non è un proiettile magico poiché il processo del server potrebbe chiamare bash solo in situazioni insolite, ma ti darà una buona idea.

Infine, Apple non è molto brava a patchare le vulnerabilità di sicurezza, ma sono brave in PR, quindi questo verrà patchato relativamente velocemente. È quindi ragionevole pensare "Non ho bisogno di correre più veloce dell'orso, ho solo bisogno di correre più veloce del vasto numero di server facilmente sfruttabili su Internet". :)

Ho creato questo strumento non appena ho saputo di questa vulnerabilità. Ti fornirà un collegamento a un articolo per correggere la shell se lo strumento determina che sei vulnerabile.

Richiede Mac OS X 10.6 e versioni successive.