Shellshock, tanta confusione e tante patch attorno a BASH
Topic
Approfondimenti
Trending
tutti

Shellshock, tanta confusione e tante patch attorno a BASH

Si succedono gli aggiornamenti e gli avvertimenti. Ma non c'è accordo sulla reale portata del problema. In ogni caso, aziende e singoli sviluppatori sono impegnati nel salvare il mondo *nix
Business
Si succedono gli aggiornamenti e gli avvertimenti. Ma non c'è accordo sulla reale portata del problema. In ogni caso, aziende e singoli sviluppatori sono impegnati nel salvare il mondo *nix

Come prevedibile, il “day after” del bug Shellshock è caratterizzato dal susseguirsi di allarmi, annunci di patch che patchano patch già rilasciate in precedenza, rassicurazioni e testimonianze di attacchi telematici in corso. Il caos non risparmia nessuno, e Shellshock è probabilmente destinato a far sentire i propri effetti negli anni a venire. Sullo sfondo, si innesca una polemica su come sia stato possibile che tutto ciò accadesse, nel tentativo (vano) di individuare un responsabile o un capro espiatorio (nessuno tocchi R.M. Stallman ).

Da esperti e sviluppatori arriva prima di tutto una conferma molto poco confortante : Bash ha un bel po’ di problemi a gestire le variabili d’ambiente malformate, e la vulnerabilità classificata come “Shellshock” rappresenta solo la testa di ponte di una più generale insicurezza di non facile risoluzione. I metodi proposti per la chiusura definitiva dei bug Shellshock comportano una probabile rottura della retrocompatibilità con le vecchie versioni di Bash, con i prevedibili disagi del caso per i sistemi che necessiterebbero di essere messi offline per l’aggiornamento e il perdurante rischio posto da server e dispositivi il cui upgrade non è possibile o probabile.

Il fatto che patchare Shellshock sia una pratica difficile non impedisce alle grandi aziende IT di provarci, a ogni modo: tra i grandi nomi coinvolti nella nuova crisi di (in)sicurezza figura Red Hat, impegnata a distribuire nuovi update dopo che i precedenti si erano rivelati insufficienti, e Oracle che prima di distribuire nuovo codice aspetta di concludere l’analisi su una vulnerabilità che coinvolge ben 32 dei suoi prodotti commerciali .

Ed Apple? Da Cupertino arriva la rassicurazione sull’invincibilità di Mac OS X in configurazione di default , mentre solo gli utenti che avessero configurato i “servizi UNIX avanzati” potrebbero avere a che fare con il problema Shellshock. Per loro è comunque in arrivo una patch .

La vulnerabilità di Bash non muove solo gli sviluppatori e le aziende hi-tech, visto che anche i cyber-criminali e i cracker sembrano essersi subito attivati per sfruttare il baco: le società specializzate nei servizi di difesa online hanno cominciato a identificare attacchi diretti a sfruttare Shellshock, con un rapporto tra tentativi distruttivi e non di 1 a 9. Una proporzione sicuramente destinata a cambiare nel prossimo futuro.

Alfonso Maruccia

Pubblicato il 29 set 2014

Link copiato negli appunti

Ti potrebbe interessare

Insegnante sfrutta l'AI per far licenziare il preside della scuola

Insegnante sfrutta l'AI per far licenziare il preside della scuola
Snowflake lancia LLM che supera Llama 3 di Meta

Snowflake lancia LLM che supera Llama 3 di Meta
I migliori software AI di progettazione d'interni del 2024

I migliori software AI di progettazione d'interni del 2024
Prime Day 2024: evento confermato da Amazon

Prime Day 2024: evento confermato da Amazon
Insegnante sfrutta l'AI per far licenziare il preside della scuola

Insegnante sfrutta l'AI per far licenziare il preside della scuola
Snowflake lancia LLM che supera Llama 3 di Meta

Snowflake lancia LLM che supera Llama 3 di Meta
I migliori software AI di progettazione d'interni del 2024

I migliori software AI di progettazione d'interni del 2024
Prime Day 2024: evento confermato da Amazon

Prime Day 2024: evento confermato da Amazon
Alfonso Maruccia
Pubblicato il
29 set 2014
Link copiato negli appunti