domingo, 28 de setembro de 2014

Entenda o perigoso bug Shellshock e aprenda a verificar se você está vulnerável a ele

Bash bug - Shellshock | Reprodução: Wikipedia
Todos os dias, diversos bugs e pequenas falhas são descobertos em computadores e softwares para nos lembrar como é praticamente impossível estar 100% seguro. Recentemente, o chamado Heartbleed assustou toda a Internet, que teve de mudar praticamente todas as suas senhas, e agora é a vez do Shellshock amedrontar usuários de OS X (Mac) e Linux.
Descoberto por uma equipe da empresa Red Hat, o Shellshock permite que hackers coloquem seu próprio código no software Bash por meio de variáveis de ambiente especialmente feitas para o ataque. Ao ter acesso ao computador, os invasores podem abrir programas, habilitar e desabilitar recursos e acessar arquivos.
Para quem nunca ouviu falar, Bash é uma interface de comando utilizada para comunicação com um sistema UNIX. Ambos o OS X e o Linux (qualquer versão) utilizam esse sistema e, por isso, são os mais propensos a sofrer com o bug. Logo, se você utiliza algum deles, confira abaixo como verificar se sua máquina está vulnerável ao perigo.
1. Abra o Terminal (cada sistema tem um modo diferente, então confira qual é o que você deve utilizar com o Sr. Google)
2. Execute o código abaixo no Terminal.
env x=’() { :;}; echo vulnerable’ bash -c ‘echo hello’
3. Se seu computador não estiver vulnerável, o resultado será o seguinte:
bash: warning: x: ignoring function definition attempt bash: error importing function definition for ‘x’ hello
4.  Caso contrário, aparecerá isso:
vulnerable hello
5. Uma possível solução é verificar a versão do Bash de seu computador executando o código abaixo no Terminal:
bash –version
Se o resultado for a versão 3.2.51(1), será necessário fazer uma atualização do software. Alguns tipos de Linux já possuem patches disponíveis, que podem ser conseguidos aqui, mas a Apple ainda não lançou correções para seus sistemas. Felizmente, é possível atualizar o Bash manualmente seguindo os passos desse guia.

Fonte:
Postar um comentário