we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

25 set, 2014

Falha no Bash expõe máquinas com sistemas baseados em UNIX

Redação iMasters

Redação iMasters
Publicidade

Especialistas de segurança da Red Hat divulgaram no blog da empresa a descoberta de uma vulnerabilidade no GNU Bourne Again Shell (Bash) que permite a execução de códigos no momento em que o interpretador de comandos é invocado – seja pelo usuário ou por algum software. O problema afeta usuários de Linux e de outros sistemas operacionais baseados em UNIX (as distribuições e o OS X, por exemplo).

A brecha foi encontrada pelo especialista Stéphane Schazelas e está “relacionada à forma como o Bash processa variáveis de ambiente passadas pelo sistema operacional ou por um programa que solicita um script bash-based”. Ela afeta as versões de 1.14 a 4.3 do shell e é ativada quando ele é aberto e um “código extra é adicionado ao fim das suas definições de funções”, segundo explicaram os especialistas da Red Hat.

Como há um bom número de aplicações que solicitam o Bash – que faz a interface com o kernel do sistema operacional –, o problema não é pequeno. A distribuidora de soluções baseadas em Linux cita o caso de clientes DHCP, por exemplo, que solicitam scripts shell para configurar o sistema. Se esses comandos vêm de um servidor DHCP afetado pela brecha, é se possível rodar vários comandos na máquina em que está o cliente.

Correções para a vulnerabilidade já foram liberadas pelos responsáveis por algumas das principais distribuições de Linux, como Red Hat Enterprise Linux, Fedora, Ubuntu, CentOS e Debian. É recomendável atualizá-los o quanto antes. A Apple ainda está devendo uma correção para o OS X, mas um pequeno update deve ser liberado em breve.

Apesar da menor divulgação, o especialista Robert Graham considera o problema “tão grande quanto o Heartbleed”, encontrado no OpenSSL em abril deste ano. Muito disso se deve fato de que o “bug interage com outros programas de formas inesperadas”, como ele explica no blog.

E os problemas podem se estender até aos dispositivos relacionados à Internet das Coisas, que provavelmente não receberão patches de correção para a falha. Ou seja, é possível que servidores fiquem livres do bug, mas vários outros aparelhos “menos importantes”, não – e o cenário previsto por Graham não é dos melhores.

O texto de Graham pode ser conferido aqui e, para entender melhor a brecha, acesse este link.

Com informações de Info

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters