Senza stare troppo ad approfondire, le notizie le potete assumere dai link sotto, ho cercato una verifica e la possibilità, in rete, di difenderci in attesa che arrivi la patch da Apple, attesa nelle prossime ore.
Apple ha comunque detto che non dovremmo correre molti pericoli, perché comunque il sistema ha altre forme di protezione che impedirebbero lo sfruttamento della falla.
http://www.lastampa.it/2014/09/26/tecno ... agina.html" onclick="window.open(this.href);return false;
http://www.corriere.it/tecnologia/14_se ... a9c2.shtml" onclick="window.open(this.href);return false;
http://www.ilpost.it/2014/09/25/shellshock-bash-unix/" onclick="window.open(this.href);return false;
http://www.hwupgrade.it/news/sicurezza- ... 54207.html" onclick="window.open(this.href);return false;
(dove c'è il richiamo alla pagina di http://apple.stackexchange.com" onclick="window.open(this.href);return false; da cui ho tratto le indicazioni che fornisco)
http://en.wikipedia.org/wiki/Shellshock_(software_bug" onclick="window.open(this.href);return false;)
Il problema viene descritto qui, tecnicamente
http://cve.mitre.org/cgi-bin/cvename.cg ... -2014-6271" onclick="window.open(this.href);return false;
E qui il suo aggiornamento
http://cve.mitre.org/cgi-bin/cvename.cg ... -2014-7169" onclick="window.open(this.href);return false;
Quindi eseguo il test per il Terminale di OS X:
Codice: Seleziona tutto
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Codice: Seleziona tutto
iMac-di-Faxus:~ faxus$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
hello
iMac-di-Faxus:~ faxus$
Prima controlliamo se la versione di bash è l'ultima fornita di serie con 10.9.5;
Codice: Seleziona tutto
faxus$ bash --version
Codice: Seleziona tutto
iMac-di-Faxus:~ faxus$ bash --version
GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.
iMac-di-Faxus:~ faxus$
Quindi si può eseguire la patch, ricompilandola.
Si eseguano i seguenti comandi, uno per ogni riga:
Codice: Seleziona tutto
mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -
Codice: Seleziona tutto
iMac-di-Faxus:bash-fix faxus$ curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 4088k 100 4088k 0 0 13122 0 0:05:19 0:05:19 --:--:-- 23432
Codice: Seleziona tutto
cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0
# Not-yet-released-patch - replace seclists line with:
# curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-053 | patch -p0
curl http://alblue.bandlem.com/bash32-053.patch | patch -p0
cd ..
xcodebuild
Codice: Seleziona tutto
sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
build/Release/bash --version # GNU bash, version 3.2.53(1)-release
build/Release/sh --version # GNU bash, version 3.2.53(1)-release
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin
Codice: Seleziona tutto
bash --version
Codice: Seleziona tutto
iMac-di-Faxus:bash-92 faxus$ bash --version
GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.
Codice: Seleziona tutto
sudo chmod a-x /bin/bash.old /bin/sh.old
Pare che in rete siano reperibili anche degli script per eseguire il tutto con comodità.
Per adesso non ne ho trovati sui siti affidabili.
Appena ne ho notizia la riporto