Uma falha de segurança grave no Bash, interpretador de comandos bastante usado em sistemas operacionais baseados em Unix, foi divulgada nesta quarta-feira (24). De acordo com os especialistas em segurança, esta vulnerabilidade é tão perigosa quanto aquela do Heartbleed, que afetou milhões de sites na internet e provavelmente foi usada pela NSA para espionar usuários.

O Bash é o shell padrão em muitos sistemas operacionais baseados em Unix, o que inclui distribuições Linux e o OS X. Red Hat, CentOS, Ubuntu e Debian já ganharam correções de segurança, mas, no momento em que escrevo este parágrafo, o OS X 10.9.5, última versão disponível, está vulnerável. Para descobrir se uma máquina é afetada, basta rodar o seguinte comando no terminal:

env x='() { :;}; echo vulnerável' bash -c "echo teste"

Se a palavra “vulnerável” aparecer, isso significa que a máquina está… vulnerável. Caso contrário, o Bash retornará uma mensagem de erro.

Vulnerável: cuidado!

Vulnerável: cuidado!

Pode ficar mais tranquilo

Pode ficar mais tranquilo

Quando explorada, a falha permite que um código malicioso seja executado assim que o shell é aberto, o que deixa a máquina exposta a uma série de ataques. E inúmeros softwares interagem com o shell de diferentes maneiras — ele é frequentemente usado pelo Apache para gerar páginas dinâmicas, por exemplo, e a brecha também pode ser explorada por meio do OpenSSH, como informa o Ars Technica.

Pesquisadores dizem que a falha deve continuar “por anos”. As principais distribuições Linux já corrigiram o problema, e a Apple deve soltar uma atualização de segurança para o OS X, mas há inúmeros outros dispositivos que usam sistemas operacionais baseados em Unix e o Bash — como eletrônicos portáteis, câmeras conectadas à internet e muitas, muitas outras coisas (talvez até o seu roteador). Não é como se somente os administradores de sistemas tivessem que se preocupar com isso.

As pessoas aprenderam que o nome “Heartbleed” foi fundamental para chamar a atenção de pessoas “comuns” sobre a falha no OpenSSL no início do ano — ela chegou a ser noticiada nos telejornais (e você sabe como a cobertura de tecnologia neles é bem restrita). A brecha no Bash é tão ruim quanto a do Heartbleed, e estão chamando-a de “Shellshock”. Espere ler mais sobre o assunto nos próximos dias.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Yuri da Silva
Dá para atualizar pelo Synaptic.
Yuri da Silva
Servidor não encontrado
Yuri da Silva
Em https://en.wikipedia.org/wiki/Shellshock_%28software_bug%29 tem todas falhas. Entretanto, testei todas e todas mostram que não estou vulnerável (Ubuntu 14.04).
Yuri da Silva
Só se tiver Bash.
Iniciante Das Mocas
A Microsoft foi mais eficiente em distribuir e propagar seu software, e sua compatibilidade e facilidade de programação (essa parte eu SUPONHO) tem sua marca. Afinal, se tem mais softwarehouses programando pra Win, provavelmente alguma facilidade deve ter, ou não ?
JoaoRicardo_RM
Desculpe a forma que expressei. Apenas quis dizer que o Android executa o código publicado na matéria, apenas. Uso Android desde 2009, então acho que posso falar dele e não ser tachado de iLover. ;)
mr anderson
A PROVA VIVA que LINUX É VASTAMENTE UTILIZADO!!! kkkkkkkkkkkkk VEJAM O IMPACTO! CADE ALGUÉM DIZENDO QUE OS SERVIDORES COMERCIAIS WINDOWS ESTÃO SEGUROS? (SE É QUE USAM WINDOWS PRA SOLUÇÃO SERVIDOR COMERCIAL KKKKKK)
Guest
A prova vida de que um sistema é VASTAMENTE utilizado! ^^ Não to vendo ninguém falar de servidores comerciais Windows kkkkkkkkkkkkk Se fosse RUINDOWS seria BEEEMMM PIOR!!! ^^ Beijos! ;)
mr anderson
Pronto! Agora os i-Lovees querem emendar o Android no assunto huahuahua.... tava demorando pros invejosos lancarem isso em cima dessa anti-campanha subsidiada pela Microsoft kkkkkkk
mr anderson
Sera que a Microsoft vai cobrar direitos autorais dos programadores de software livre?!?!?!?!?!? A pioneira em falhas de segurança kkkkkkkkkk
dogivalferreira

Infelizmente mesmo após o patch, acabaram descobrindo mais falhas no bash: http://arstechnica.com/secu...

Dogival Ferreira
Infelizmente mesmo após o patch, acabaram descobrindo mais falhas no bash: http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole/
David Diniz
Essa falha afeta celulares Android e iphone?
JoaoRicardo_RM
Sim está! Testei usando o Terminal Emulator e tanto o Jelly Bean 4.1 e no KitKat 4.4.2 estão vulneráveis.
RhuanGonzaga
Foi descoberta outra falha CVE-2014-7169 no bash, faça o teste e veja se voce está vulnerável: http://shellshock.com.br
Exibir mais comentários