Bug Shellshock di Bash, ecco la patch di Apple

di Redazione 30/09/20143

Apple l'aveva promessa la scorsa settimana, ed eccola qui: è arrivata la patch che risolve il grave bug Shellshock, la falla della shell bash (presente su tutti i sistemi Unix e Unix-like) che è stata definita più grave di Hearthbleed.

debug1L’aggiornamento è arrivato sotto forma di singolo e semplice update per la shell. Si chiama OS X Bash Update 1.0 ed è disponibile per le ultime tre versioni del sistema operativo Apple, vale a dire Lion, Mountain Lion, Mavericks, Niente aggiornamento per chi ancora utilizza versioni precedenti del sistema. In quel caso è utile procedere ad un applicazione manuale della patch di Bash.

 

L’aggiornamento si può scaricare direttamente dal sito Apple, a questi indirizzi:

Il bug della shell Bash, scoperto la scorsa settimana, permette l’esecuzione di codice arbitrario grazie ad un particolare comportamento nell’interpretazione delle variabili d’ambiente.
Per sapere se il vostro Mac è vulnerabile, seguite le indicazioni di questo thread di Stack Exchange. Se non avete conoscenze sufficientemente avanzate per capire di cosa si parli in quella pagina, tranquillizzatevi: significa che difficilmente avrete attivato quei servizi avanzati (web server pubblico, condivisione SSH ecc…) che potrebbero davvero mettere a rischio il vostro sistema.

L’aggiornamento, in ogni caso, è consigliato a tutti quanti, per una maggiore sicurezza.

Commenti (3)

  1. patanfrana 30/09/2014 il 09:21

    Installata ieri sera, riprovato il comando da terminale indicato nel thread di Stack Exchange, e la vulnerabilità pare essere rimasta…

    Digitando “env x='() { :;}; echo vulnerable’ bash -c ‘echo hello'” nel terminale, il risultato è ancora “hello”

    Lascia un commento

    1. Camillomiller 30/09/2014 il 10:42

      Quindi è a posto. Se è vulnerabile, compare vulnerable ;)

    2. patanfrana 30/09/2014 il 10:55

      Ah, ok, ora ha senso: in un’altra discussione pareva dovesse comparire un messaggio di errore.

      Su LifeHacker dicono che inserendo

      env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”

      si dovrebbe ottenere questo se NON si è vulnerabili:

      bash: warning: x: ignoring function definition attempt bash: error importing function definition for ‘x’ this is a test

      Mentre se si è vulnerabili compare ovviamente

      this is a test

Lascia un commento

Il tuo indirizzo email non verrà pubblicato.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>