Ir para o conteúdo
ou

Logo noosfero

ODF Alliance Award

Furusho

TDF Planet

redirection forbidden: http://planet.documentfoundation.org/atom.xml -> https://planet.documentfoundation.org/atom.xml

BR.Linux.org

redirection forbidden: http://br-linux.org/feed -> https://br-linux.org/feed

Seja Livre!

404 Not Found

Linux Feed

getaddrinfo: Name or service not known

Computerworld

getaddrinfo: Name or service not known

PC World

getaddrinfo: Name or service not known

IDG Now!

getaddrinfo: Name or service not known

Info

Invalid feed format.

Users SL Argentina

redirection forbidden: http://drupal.usla.org.ar/rss.xml -> https://cobalto.gnucleo.net/rss.xml

Tecno Libres - Cubas

redirection forbidden: http://gutl.jovenclub.cu/feed -> https://gutl.jovenclub.cu/feed

Software Libre Peru

Invalid feed format.

Linux Venezuela

Invalid feed format.

GNU/Linux Paranguay

getaddrinfo: Name or service not known

Soft Libre Honduras

Invalid feed format.

Linux Rep.Dominicana

404 Feed not found error: FeedBurner cannot locate this feed URI.

 Voltar a FREE SOFTWAR...
Tela cheia

Shellshock: saiba tudo sobre o bug que afeta todas as versões do Bash

25 de Setembro de 2014, 14:25 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 287 vezes

Se o seu computador roda o shell Bash e não foi atualizado nos últimos dias, ele está vulnerável ao Shellshock, uma falha grave – e praticamente todos os computadores desktop e servidor com Linux e com OS X, além de aparelhos como roteadores e até eletrodomésticos conectados à Internet rodam esse software.

O bug começou a ser comentado em larga escala ontem, e aparentemente foi descoberto na semana passada. Mas ele está presente nas versões do Bash dos últimos 20 e poucos anos (exceto as atualizações posteriores à descoberta, embora elas ainda estejam sendo auditadas), então é possível que alguém já o conhecesse e fizesse uso dele, silenciosamente, há muito tempo.

Com o bug, é possível injetar comandos para execução pelo computador, mesmo no caso de usuários sem acesso direto à shell: é possível fazer isso alterando os cabeçalhos de uma conexão a um servidor web, por exemplo, ou por meio do protocolo de monitoramento SNMP, ou ainda pela autenticação de sessões SSH, entre outros vetores de ataque já identificados.

Injetando comandos, é possível controlar um computador remotamente, seja movendo para pastas públicas arquivos que deveriam ser privados, alterando configurações, forçando o download de arquivos remotos que contenham malware, e muitas outras atividades. É bem o tipo de vulnerabilidade que se presta à distribuição automática de malware, ou seja, worms, redes zumbis, etc. – e, como este é particularmente fácil de explorar, seria possível criar uma em larga escala, até porque muitos computadores conectados à web não terão seu upgrade do Bash realizado imediatamente.

Fique atento ao site de segurança do seu distribuidor de sistema operacional, e atualize o Bash assim que ele disponibilizar (alguns já disponibilizaram). Depois de atualizar, use as rotinas normais para verificar se o seu sistema chegou a ter a falha explorada e foi comprometido.

Para verificar se o seu Bash está vulnerável, você pode emitir o seguinte comando:

env x='() { :;}; echo vulneravel' bash -c 'false'

Se a palavra "vulneravel" for impressa na tela, você saberá que está.

E para ver com detalhes tudo o que já se sabe sobre o funcionamento e a gravidade da falha, visite o texto detalhado do Troy Hunt.

Mais do que no caso do bug Heartbleed, este parece ser o_caso que justifica os planos da Core Infrastructure Initiative de investir na segurança dos componentes básicos dos sistemas open source.

O artigo "Shellshock: saiba tudo sobre o bug que afeta todas as versões do Bash" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.


Fonte: http://br-linux.org/2014/01/shellshock-saiba-tudo-sobre-o-bug-que-afeta-todas-as-versoes-do-bash.html

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.