Pillola #61: Disattivare BASH per impedire attacchi CVE-2014-6271 - ShellShock
Mar, 30/09/2014 - 10:26 — Marco Agostini

Nel settembre 2014 è stata pubblicizzata una falla presente nella bash che consente l'esecuzione di comandi arbitrari da remoto senza necessitare di autenticazione al sistema.

Alcuni link relativi al tema:

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-enviro...

Come verificare se la bash installata è vulnerabile:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 
 vulnerable
 this is a test

Ho aggiornato tutti i server Debian "recenti" in questo modo (pescando direttamente dai repository ufficiali):

apt-get update
apt-get install bash

Su alcuni server "obsoleti" è stata installata una versione static (patchata) del pacchetto bash:
http://ftp.linux.it/pub/People/md/bash/
Ritengo i pacchetti affidabili in quanto mi fido del lavoro di Marco d'Itri
http://it.linkedin.com/in/rfc1036

wget http://ftp.linux.it/pub/People/md/bash/bash-static_3.2-4.2_i386.deb
dpkg -i bash-static_3.2-4.2_i386.deb
mv /bin/bash /bin/bash.originale
chmod 000 /bin/bash.originale
ln -sf /bin/bash-static /bin/sh
ln -sf /bin/bash-static /bin/bash

Sarebbe possibile disattivare bash e utilizzare dash... ma la soluzione è stata scartata in quanto alcuni software (es. assp e qmail si appoggiano a bash per alcune operazioni specifiche):

- modificare il contenuto di /etc/passwd e sostituire per tutti gli utenti bash con sh
- disabilitare bash
ln -sf /bin/dash /bin/sh
mv /bin/bash /bin/bash.originale
chmod 000 /bin/bash.originale