Corretto in 20 secondi

Paolo Redaelli

Vero che ShellShock è un rilevante buco di sicurezza. Ma è molto meno pericoloso di quanto la stampa lo dipinge. Innanzitutto si corrette in 20 secondi netti con un

sudo apt-get update; sudo apt-get install bash

anche su Debian. Quindi per chi legge da http://ilbruttobug.wordpress.com/2014/09/28/shellshock-su-ubuntu-bug-risolto-con-un-aggiornamento-di-bash/ sì, segnalo che anche su Debian è stato corretto. Come su Ubuntu. E sarebbe stato strano il contrario visto che Ubuntu è praticamente una derivata di Debian Unstable.

Secondo, non bisogna eseguire codice di cui non si ha fiducia. Ed io mi fido solo di me stesso e dei depositi Debian.
Chi esegue codice trovato in giro per la rete deve essere preparato alle peggiori conseguenze. Se dovete eseguire codice di dubbia provenienza fatelo in macchine virtuali apposite o in ambienti ingabbiati (“boxed enviroments”).
È un classio un esempio da manuale di FUD : fear uncertainty, doubt. Un baco che non ha quasi nessun effetto su un sistema usato in modo sensato e che si risolve in 20 secondi netti, ma che instilla nelle menti di chi non conosce bene i sistemi Unix dubbio è terrore. Come ben spiega Lorenzo Breda:

Qualche chiarimento su ShellShock, che ci vuole.

  • Sì, è un bug gravissimo, ma tanto.
  • L’aggiornamento più diffuso al momento è a sua volta buggato.
  • Se usate la vostra linuxbox o il vostro Mac collegato al router di casa senza strane configurazioni del router, dormite pure sogni tranquilli.
  • Se esponete un server ssh, state solo attenti che sia ben protetto (chiavi, non password, MAI password)
  • Se esponete un server telnet, vabbè, siete pazzi.
  • Se esponete un server web, evitate che usi cgi o comandi di sistema (disabilitate exec in php…), o che la shell su cui esegue comandi non sia bash.
  • Se la vostra linuxbox è Debian o una delle tante derivate (Ubuntu compresa) la shell su cui qualunque programma esegue comandi non interattivamente non è bash ma dash, quindi non avrete problemi neanche in caso di server web con configurazioni a rischio.
  • Vi stanno riempiendo di terrorismo psicologico sul fatto che il vostro router o la vostra smart TV è infetta: quasi sicuramente non è così. La maggior parte dei sistemi di questo tipo usa la shell BusyBox.

Tutto quello che scrive Lorenzo non è nè più nè meno che una corretta, sana e sensata amministrazione di un qualsiasi sistema tipo-unix (GNU/Linux, *BSD). E mette al riparo da bachi come questi. E da peggiori, se posso straparlare da semicompetente.

One Reply to “Corretto in 20 secondi”

  1. In realtà il pericolo son quelli che “uso linux perché sicurissimissimo” senza però essere capaci di configurarlo a dovere, perché un linux malconfigurato è pericoloso shellshock o non shellshock.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Related