Shellshock seria falha de segurança pior que Heartbleed

Linux - falha no bash, shellshock é pior que heartbleed

Mais um dia, mais uma falha de segurança. Mais uma falha GRAVE de segurança. Tem gente dizendo que é muito pior que o heartbleed.

De acordo com o especialista Unix Stéphane Chazelas, que reportou a falha à Red Hat, ela envolve a manipulação, pelo BASH, de variáveis de ambiente especificamente mal formadas com intuito malicioso, e permitiria a execução de comandos que deveriam ser de acesso restrito.

Levando em conta que o BASH é o interpretador de comandos padrão de muitas distribuições Linux, está presente no MAC OS X e provavelmente em muitos sistemas embarcados derivados do Linux, a falha é muito preocupante.

Acrescente a isso o fato de que 60% da web está hospedada em servidores Linux, e que mecanismos como CGI fazem uso do shell, e temos uma situação realmente alarmante.

Não bastasse tudo isso, as informações dão conta de que a falha existe há bastante tempo, e, diferentemente do Heartbleed, que afetava uma versão específica do OpenSSL, pode ter sua correção bastante dificultada, especialmente em sistemas legados.

Imagine os milhares de roteadores wifi com DDWRT e OpenWRT espalhados pelo mundo, por exemplo. Quem vai atualizar esses sistemas ?

Penso que isso só comprova a necessidade de abordar a questão da segurança em diversas camadas, de forma que uma falha de difícil correção como esta possa ser contornada através do uso de outra solução de segurança que atue em outro nível.

E você, o que pensa a respeito ? Compartilhe comigo!

Update: pra quem usa Ubuntu, orientações pra atualizar o bash e eliminar a vulnerabilidade aqui.

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!