Bug no GNU Bash é encontrado em sistemas baseados em UNIX

Especialistas em segurança da Red Hat publicaram (quarta-feira, 24) a descoberta de uma vulnerabilidade no Bourne Again Shell (GNU Bash) em sistemas operacionais baseados em UNIX (Linux, OS X e outros). Esta brecha permite a execução de códigos não apenas por parte do usuário, mas por softwares maliciosos que podem se aproveitar do erro no momento em que o interpretador de comandos é aberto.

As versões 1.14 e 4.3 do shell são afetadas pela falha. De acordo com Stéphane Schazelas, um dos especialistas responsável por encontrar o erro, a vulnerabilidade se dá na forma com que o processamento das variáveis de ambiente é feito pelo Bash. O problema é ativado no momento em que o shell é aberto e um “código é adicionado ao final de suas definições de função”, explica a Red Hat.

Em postagem feita junto ao Errata Security, Robert Graham destacou a gravidade do erro encontrado. “Uma enorme porcentagem de softwares interage de alguma forma como o shell. Nunca iremos conseguir catalogar todos os programas que estão vulneráveis ao bug de Bash”, alertou Graham. Em entrevista ao The Verge, Nicholas Weaver, especialista em segurança da Berkeley ICSI, disse que a vulnerabilidade é “sutil, feia e ficará conosco por muitos anos”.

Comandos diversos podem ser rodados em máquinas que solicitam shell scripts para a configuração de sistemas – este é o caso, por exemplo, dos clientes DHCP; se um destes servidores for acometido pela falha, um ataque pode ser executado. “O bug interage com softwares de formas imprevisíveis. E este [erro] pode ser tão grave quanto o Heartbleed”, comentou ainda Graham. Vale mencionar que um título oficial ao bug não parece ter sido ainda definido – o erro, contudo, está sendo chamado de “shellshock”.

Correções para a vulnerabilidade já foram liberadas pelos responsáveis de algumas das principais distribuições Linux, como o Red Hat Enterprise Linux, o Fedora, o Ubuntu, o CentOS e o Debian. É bom atualizá-los o quanto antes. A Apple ainda está devendo uma correção para o OS X, mas um pequeno update deve ser liberado em breve, como apontou o Ars Technica.

FONTE: Tecmundo | INFO

COMENTÁRIOS