A molti utenti di questo sito probabilmente la parola Bash suonerà come un’accozzaglia di lettere senza significato. Ma la Bash di Linux è praticamente il mezzo principe per inviare comandi al sistema operativo che fa funzionare buona parte di Internet e non solo.
In pratica è una interfaccia a caratteri attraverso cui si impartiscono comandi al sistema operativo. Ora, prima di entrare nel dettaglio tecnico di qual è la falla di sicurezza scoperta nella Bash, vogliamo raccontare quali potrebbero essere le conseguenze, di modo che chi non ha voglia di leggere i paragrafi più tecnici che seguiranno può intuire la gravità della questione e farsene una ragione, senza andare oltre nella lettura.
In sostanza il baco appena scoperto nella Bash consentirebbe sotto particolari condizioni ad utenti maliziosi di inviare comandi al sistema operativo e dunque prenderne il controllo. In altre parole, volendo estremizzare, utenti con cattive intenzioni (che non sono mai pochi) potrebbero fare il cavolo che gli pare con i vostri siti web e con i siti che siete abituati a navigare da anni.
Ora non correte subito allarmati a verificare che il vostro sito preferito sia ancora in piedi! Il baco è grave ma le contromisure ci sono e comunque la lotta fra forze del bene e forze del male su Internet è praticamente giornaliera.
Se non siete tecnici o sistemisti o qualcosa del genere, quello che vi occore sapere è che c’è qualcuno già all’opera per risolvere il problema di cui sopra.
Per i più tecnici
Se invece appartenete proprio alla categoria dei tecnici o dei sistemisti, sappiate che il Bug coinvolge le variabili d’ambiente della Bash Linux.
Blog post: Bash bug as big as Heartbleed: http://t.co/MUVEpUtamj
— Robert Graham (@ErrataRob) 24 Settembre 2014
In pratica è possibile creare variabili d’ambiente che contengono del codice che viene eseguito prima di invocare la Bash. La conseguenza di tutto ciò è che del codice malizioso potrebbe essere inserito all’interno di questo tipo di variabili.
Ora, se si pensa che la Bash è invocata da roba tipo popen in C e in Python, PHP exec, Perl, DHCP in alcuni casi, diversi demoni di sistema, e molta altra roba, appare ovvio che l’aggiunta di codice malizioso che viene eseguito attraverso le variabili d’ambiente prima di invocare la Bash è un problema non da poco.
La descrizione precisa del bug per i più esperti è descritta qui
Il bug esisterebbe da molti anni quindi non è dato sapere quanti sistemi possono essere affetti dal problema.
Ad ogni modo Red Hat e Fedora hanno già rilasciato una patch
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.tstyle.it/2014/09/25/baco-sicurezza-bash-linux-web-trema.html&media=https://www.tstyle.it/wp-content/uploads/2014/09/bash-bug.jpg&description=Scovato un baco di sicurezza nella Bash nome in codice Shellshock. Gli esperti lo dipingono come peggio di "Heartbleed".){kind=link}