Questa domanda ha già una risposta qui:
Questa domanda ha generato un sacco di downvoting su tre siti di SE, quindi lasciatemi provare a spiegare da dove proviene.
La magnitudo del problema "shellshock" di bash potrebbe risultare più grande di qualsiasi altra da quando Y2K.
Essendo stato parte di una sostituzione completa di un grande data center per Y2K, sono allarmato dal panico generato su shellshock (nome appropo, btw). Sono preoccupato che affrettare correzioni veloci senza una pianificazione e test approfonditi creerà problemi molto più grandi di quello che pensiamo di dover affrontare.
Per Y2K, abbiamo appreso che le correzioni del codice data erano la parte facile.
La parte di produzione dei tempi di inattività enormemente complessa, soggetta a errori e non programmata stava scoprendo e correggendo / attenuando i guasti in altri software causati dalle correzioni. Alcuni di questi non sono stati scoperti fino a quando i nuovi sistemi non sono stati in produzione per mesi. Nonostante uno sforzo erculeo, alcuni hanno addirittura portato a cambiamenti nella politica organizzativa perché erano troppo dirompenti per essere risolti.
Non sto suggerendo che l'applicazione di patch di sicurezza sia sconsigliabile.
Tuttavia, solo in questo caso, ho notato una serie sospetta di eventi che culminano non solo in un'altra vulnerabilità di routine, ma che richiedono un massiccio aggiornamento dei sistemi che interessano praticamente ogni persona che utilizza un computer sul pianeta.
La vulnerabilità è reale. Ma c'è bisogno di un'azione istantanea?
È questa combinazione di fattori che mi fa riflettere ...
Un fatto...
Una cronologia ...
- Ott 2012 - "Apple viene aggiunta all'elenco dei server penetranti dell'NSA"
- Dicembre 2013 - Apple afferma di non aver mai lavorato con NSA ...
- 19 settembre 2014 - Probabile che la NSA abbia ora richiesto i dati di Apple e che stiano resistendo
- 24 settembre 2014 - US-CERT è a conoscenza di una vulnerabilità di Bash che interessa i sistemi operativi basati su Unix come Linux e Mac OS X
Ramificazioni ...
- La "vulnerabilità" shellshock di Bash è stata una "caratteristica" di Bash per 22 anni. Ci penseresti in tutto quel tempo, in tutti quegli ambienti ad alta sicurezza che eseguono Unix o Linux, qualcuno si sarebbe preoccupato dell'abuso.
- Ora, ogni installazione di Bash nel mondo sta per essere sostituita.
- Sebbene Bash sia open source, poche persone si prendono il tempo per studiare il codice di programmi così grandi e complessi.
- Bash è scritto in C, che supporta il codice del linguaggio assembly incorporato. Codice che ancora meno programmatori hanno le competenze per leggere.
- Bash è scritto in C, che supporta facilmente il trattamento di qualsiasi blocco di binario, come qualcosa etichettato come dati o una piccola immagine, come codice.
- Quindi, un programmatore esperto poteva nascondere il codice "backdoor" in bella vista, e probabilmente non sarebbe stato scoperto a meno che non causasse un errore di qualche tipo.
Il reclamo ...
La domanda...
Le shell di bash dovrebbero essere sostituite con queste nuove versioni con patch?
RISORSE
- bash patching discussione di gruppo su insecure.org
- Apple: "La stragrande maggioranza degli utenti di OS X non è a rischio di recente segnalazioni di vulnerabilità di bash"
- Red Security Blog: attacco di iniezione del codice delle variabili d'ambiente appositamente predisposto per Bash
Aggiornamento 2017-09-28
Dopo 3 anni, qualcuno in realtà ha trovato una scheggia di utilità in questo e ha fatto salire la domanda?
Bene, lasciami un mea culpa ...
L'attenzione di cui sopra sulle circostanze che circondano l'annuncio di Shellshock sono state una reazione istintiva da parte mia. Una reazione mi dispiace. Mentre il fatto, il tono "cospirativo" ha prodotto una reazione che ha oscurato qualche cosa di valore. Lo lascio intatto solo in modo che i molti buoni commenti abbiano un senso.
Sono già state rilasciate e sono state messe a punto abbastanza nuove versioni della maggior parte del software coinvolto, che Shellshock potrebbe ancora preoccupare solo coloro che utilizzano sistemi a bassa potenza che devono utilizzare software meno recenti. All'epoca, il mio allarme riguardava i pericoli di rimuovere ciecamente funzionalità di 22 anni da quei sistemi senza analisi dell'impatto. Apparentemente, si scopre che la funzionalità è stata usata raramente, se non mai.
bash
problema tecnico. apple.stackexchange.com/questions/146893/...