Início » Segurança » Shellshock: falha de segurança grave no Bash afeta máquinas com Linux e OS X

Shellshock: falha de segurança grave no Bash afeta máquinas com Linux e OS X

Por
3 anos atrás
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Uma falha de segurança grave no Bash, interpretador de comandos bastante usado em sistemas operacionais baseados em Unix, foi divulgada nesta quarta-feira (24). De acordo com os especialistas em segurança, esta vulnerabilidade é tão perigosa quanto aquela do Heartbleed, que afetou milhões de sites na internet e provavelmente foi usada pela NSA para espionar usuários.

O Bash é o shell padrão em muitos sistemas operacionais baseados em Unix, o que inclui distribuições Linux e o OS X. Red Hat, CentOS, Ubuntu e Debian já ganharam correções de segurança, mas, no momento em que escrevo este parágrafo, o OS X 10.9.5, última versão disponível, está vulnerável. Para descobrir se uma máquina é afetada, basta rodar o seguinte comando no terminal:

env x='() { :;}; echo vulnerável' bash -c "echo teste"

Se a palavra “vulnerável” aparecer, isso significa que a máquina está… vulnerável. Caso contrário, o Bash retornará uma mensagem de erro.

Vulnerável: cuidado!

Vulnerável: cuidado!

Pode ficar mais tranquilo

Pode ficar mais tranquilo

Quando explorada, a falha permite que um código malicioso seja executado assim que o shell é aberto, o que deixa a máquina exposta a uma série de ataques. E inúmeros softwares interagem com o shell de diferentes maneiras — ele é frequentemente usado pelo Apache para gerar páginas dinâmicas, por exemplo, e a brecha também pode ser explorada por meio do OpenSSH, como informa o Ars Technica.

Pesquisadores dizem que a falha deve continuar “por anos”. As principais distribuições Linux já corrigiram o problema, e a Apple deve soltar uma atualização de segurança para o OS X, mas há inúmeros outros dispositivos que usam sistemas operacionais baseados em Unix e o Bash — como eletrônicos portáteis, câmeras conectadas à internet e muitas, muitas outras coisas (talvez até o seu roteador). Não é como se somente os administradores de sistemas tivessem que se preocupar com isso.

As pessoas aprenderam que o nome “Heartbleed” foi fundamental para chamar a atenção de pessoas “comuns” sobre a falha no OpenSSL no início do ano — ela chegou a ser noticiada nos telejornais (e você sabe como a cobertura de tecnologia neles é bem restrita). A brecha no Bash é tão ruim quanto a do Heartbleed, e estão chamando-a de “Shellshock”. Espere ler mais sobre o assunto nos próximos dias.

Mais sobre: ,
  • Alex Oliveira

    Ei Microsoft… não, pera!

  • Igor Breno

    No Ubuntu 14.04.1 Unity está tudo certo. 🙂

  • Wolfgang Marcos

    Essa vulnerabilidade não existe no meu Archlinux =)

    • DarkRyu550

      No meu tinha, coloquei pra atualizar e pronto =D

      • Wolfgang Marcos

        /

  • Marco Teixeira

    A diferença do Linux para os outros é esta. conte no máximo 4 horas que a atualização acaba com o problema. quando fui testar.. já era!!!

    • Tiago Soares

      Exatamente. Se fosse com a Microsoft teríamos que esperar a boa vontade deles de liberarem a atualização. Até o momento parece que a Apple não liberou a atualização. Essa é a vantagem do Open Source: quando a falha é descoberta, ela é rapidamente consertada!!

    • Moisés de Lima

      A mais pura verdade. Linux em sua essência de desenvolvimento de comunidade, consegue corrigir erros muito rapidamente, ao contrário dos outros OSs.

    • Guest

      Qual distribuição você está usando? Testei no Ubuntu e Fedora e estão vulnerareis a esta falha.

    • Renato Santos

      Qual distro você está usando?

    • Iniciante Das Mocas

      A Microsoft foi mais eficiente em distribuir e propagar seu software, e sua compatibilidade e facilidade de programação (essa parte eu SUPONHO) tem sua marca. Afinal, se tem mais softwarehouses programando pra Win, provavelmente alguma facilidade deve ter, ou não ?

  • corvolino

    O problema dessa vulnerabilidade não são os sistemas operacionais e sim outros dispositivos que usam o bash. A própria matéria diz isso..

  • Paulo Norberto

    OS X Yosemite Beta Developer Preview 7, tb ta tudo ok

  • Filipe Kiss

    Vale lembrar também que, se você usa alguma outra shell, por exemplo o zsh, o bug não existe.

    Versão 5.0.2 do ZSH já não sofre com isso.

    Se alguém quiser testar:

    env x='() { :;}; echo Vulnuravel’ zsh -c ‘echo teste’

  • daniellz

    Android tem base Linux também, certo? Ele não é afetado em nada?

    • Gênese Lessa

      A falha não está relacionada ao linux em si. Ela é referente ao bash. Provavelmente o android não tá comprometido por ela.

    • Gabriel Nunes

      Só se você estiver usando alguma versão modificada do Android (alguma custom ROM). Mas a maioria vem sem o bash.

      • Rafael Machado de Souza

        exato

    • Sim está! Testei usando o Terminal Emulator e tanto o Jelly Bean 4.1 e no KitKat 4.4.2 estão vulneráveis.

      • mr anderson

        Pronto! Agora os i-Lovees querem emendar o Android no assunto huahuahua…. tava demorando pros invejosos lancarem isso em cima dessa anti-campanha subsidiada pela Microsoft kkkkkkk

        • Desculpe a forma que expressei. Apenas quis dizer que o Android executa o código publicado na matéria, apenas.
          Uso Android desde 2009, então acho que posso falar dele e não ser tachado de iLover. 😉

  • Odilon Junior

    # env x='() { :;}; echo vulnerável’ bash -c “echo teste”
    bash: warning: x: ignoring function definition attempt
    bash: error importing function definition for `x’
    teste

    Esta tudo bem

  • Antony PS
  • Bruno Roque Dantas

    Git bash e Cygwin64 no Windows vulneráveis. 🙁

  • RhuanGonzaga

    Mais informações sobre a falha: https://shellshock.com.br

  • Renato Santos

    Corram para as colinas xD

  • Tiago Gabriel

    O meu está vulnerável 🙁

  • João Paulo de Souza

    5 servidores aqui, 4 ubuntu 14.04 todos vulneráveis 1 CentOS 6.5 que não foi afetado

    • Led Bass

      Atualize os Ubuntus, a correção saiu hoje pela manhã, o Fedora que demorou mais já tem correção.

      😉

  • Diego F. Duarte

    #Mtoloko meu trampo hj e a galera pedindo p eu correr p achar uma solução pro problema XD.

    Felizmente a maioria das grandes distros (incluindo a q usamos) já lançaram um patch pro problema. Apt-get e yum é nosso amigo nessas hrs…

    • Eduardo Fernandes

      Amigo é coooisaaa, pra se guardaaarrrr… Do laadddoo esquerdo do peitoo!..

      • Diego F. Duarte

        UHEUHEUHEUHUH

  • Marcvs Antonivs

    Usando o ultimo beta do OS X Yosemite e deu vulnerável. Não me surpreende não. Depois de lançar um iPhone que entorta e uma atualização para o iOS 8 – a iOS 8.0.1, logo retirada do ar – que torna seu iPhone algo inútil a ponto de vc ter que reinstalar o iOS, nada mais me surpreende na Apple, negativamente falando…

  • Estava dando como vulnerável no meu Mavericks, mas foi só atualizar que ficou ok!
    Obrigado!

  • Victor Magalhaes

    Valeu pela dica!
    Acabei de atualizar 😀

  • João Conegundes

    Para o OSX 10.9.5 (última versão estável em 25/09/2014 basta seguir a recomendação para recompilar facilmente um release novo do Bash: https://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an/146851#146851

  • Keaton

    Esta falha não existe no MacOS! – Apple.

  • Artur Fernandes S. F

    Testei no android, não funcionou porque não possui o comando “env”, no arch também não funcionou.

  • Max Yure

    Após uma att ontem e outra hoje o teste no Debian tá aparecendo assim, nem vunerável e nem erro, quer dizer que tá tudo bem !?

    • Mesma coisa aqui. No meu caso é CentOS.

      Acho que deve ter rolado um update do update que deve suprimir a mensagem de erro, porque quando rodei o comando antes do update o “vulnerável” apareceu e depois só o “teste”.

  • Ben Hur Nascimento

    Para usuários de debian: sudo apt-get update && sudo apt-get upgrade

    • Yuri da Silva

      Dá para atualizar pelo Synaptic.

  • Pois é, a Aplle é tão perfeita e ainda não corrigiu a falha. Já o pessoal do Linux…

  • Gustavo Xavier

    Todos os servidores corrigidos e atualizados.

  • RhuanGonzaga

    Foi descoberta outra falha CVE-2014-7169 no bash, faça o teste e veja se voce está vulnerável: http://shellshock.com.br

    • Yuri da Silva

      Servidor não encontrado

  • David Diniz

    Essa falha afeta celulares Android e iphone?

    • Yuri da Silva

      Só se tiver Bash.

  • Dogival Ferreira

    Infelizmente mesmo após o patch, acabaram descobrindo mais falhas no bash: http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole/

  • mr anderson

    Sera que a Microsoft vai cobrar direitos autorais dos programadores de software livre?!?!?!?!?!? A pioneira em falhas de segurança kkkkkkkkkk

  • Guest

    A prova vida de que um sistema é VASTAMENTE utilizado! ^^
    Não to vendo ninguém falar de servidores comerciais Windows kkkkkkkkkkkkk
    Se fosse RUINDOWS seria BEEEMMM PIOR!!! ^^
    Beijos! 😉

  • mr anderson

    A PROVA VIVA que LINUX É VASTAMENTE UTILIZADO!!! kkkkkkkkkkkkk
    VEJAM O IMPACTO! CADE ALGUÉM DIZENDO QUE OS SERVIDORES COMERCIAIS WINDOWS ESTÃO SEGUROS? (SE É QUE USAM WINDOWS PRA SOLUÇÃO SERVIDOR COMERCIAL KKKKKK)