Hoje, o BUG DO BASH é tão grande como o Heartbleed. Isso é, por muitas razões. A primeira razão é que o bug interage com outro software de formas inesperadas. Sabemos que interagir com o shell é perigoso, mas escrever código que faz isso de qualquer maneira. Uma enorme percentagem de software interage com o escudo de alguma forma. Assim, nós nunca seremos capazes de catalogar todos os programas lá fora, que é vulnerável à
festa bug. Este é semelhante ao bug OpenSSL:. OpenSSL está incluído em um pacotes de software bajillion, portanto, nunca foram capazes de quantificar totalmente exatamente quanto software é vulnerável A segunda razão é que, enquanto os sistemas conhecidos (como o seu servidor web) são corrigidos , os sistemas desconhecidos permanecem sem correção. Vemos que com o bug Heartbleed: seis meses depois, centenas de milhares de sistemas continuam vulneráveis. Estes sistemas são raramente coisas como servidores web, mas são mais frequentemente coisas como câmeras conectados à Internet. Internet-de-coisas dispositivos como câmeras de vídeo são especialmente vulneráveis, porque muito do seu software é construído a partir de bash scripts web-enabled. Assim, não só eles são menos propensos a ser corrigido, eles são mais propensos a expor a vulnerabilidade para o mundo exterior. Ao contrário Heartbleed, que só afetou uma versão específica do OpenSSL, esta
festa bug tem sido em torno de um longo, longo tempo. Isso significa que existem
muitos aparelhos usados na rede vulneráveis a este bug. O número de sistemas que precisam ser corrigidos, mas que não será, é muito maior do que Heartbleed. Há pouca necessidade de pressa e corrigir esse bug. Os servidores primários, provavelmente, não são vulneráveis a esse bug. No entanto, tudo o mais provavelmente é. Digitalizar sua rede para coisas como Telnet, FTP, e versões antigas do Apache (masscan é extremamente útil para isso). Qualquer coisa que responde é provavelmente um dispositivo antigo precisando de uma
festa de patch. E, uma vez que a maioria deles não pode ser corrigido, você provavelmente está ferrado.
Update: Eu acho que as pessoas estão chamando este o bug "Shellshock". Ainda olhando para o logotipo oficial.
Atualização : Note-se que a coisa com o bug Heartbleed não era que a Internet iria entrar em colapso, mas que está em tantos lugares que nós realmente não podemos erradicar tudo. Assim, dizer "tão ruim quanto Heartbleed" não significa que o seu site vai ficar amanhã hackeado, mas que daqui a um ano estaremos lendo sobre como os hackers tem em usar a vulnerabilidade para algo interessante.
Exploit detalhes : A forma como este bug é explorada é qualquer coisa que esse primeiro varas algum parâmetro Internet em uma variável de ambiente, e
, em seguida, executa um script. Deste modo, simplesmente ligando festa não é o problema. Assim, algumas coisas (como PHP) aparentemente não são necessariamente vulnerável, mas outras coisas (como shell scripts CGI) são vulneráveis como todos sair. Por exemplo, um monte de roteadores sem fio desembolsar para "ping" e "traceroute" - todos estes são provavelmente vulnerável.
Comentários