Mais um dia, mais uma falha de segurança. Mais uma falha GRAVE de segurança. Tem gente dizendo que é muito pior que o heartbleed.
De acordo com o especialista Unix Stéphane Chazelas, que reportou a falha à Red Hat, ela envolve a manipulação, pelo BASH, de variáveis de ambiente especificamente mal formadas com intuito malicioso, e permitiria a execução de comandos que deveriam ser de acesso restrito.
Levando em conta que o BASH é o interpretador de comandos padrão de muitas distribuições Linux, está presente no MAC OS X e provavelmente em muitos sistemas embarcados derivados do Linux, a falha é muito preocupante.
Acrescente a isso o fato de que 60% da web está hospedada em servidores Linux, e que mecanismos como CGI fazem uso do shell, e temos uma situação realmente alarmante.
Não bastasse tudo isso, as informações dão conta de que a falha existe há bastante tempo, e, diferentemente do Heartbleed, que afetava uma versão específica do OpenSSL, pode ter sua correção bastante dificultada, especialmente em sistemas legados.
Imagine os milhares de roteadores wifi com DDWRT e OpenWRT espalhados pelo mundo, por exemplo. Quem vai atualizar esses sistemas ?
Penso que isso só comprova a necessidade de abordar a questão da segurança em diversas camadas, de forma que uma falha de difícil correção como esta possa ser contornada através do uso de outra solução de segurança que atue em outro nível.
E você, o que pensa a respeito ? Compartilhe comigo!
Update: pra quem usa Ubuntu, orientações pra atualizar o bash e eliminar a vulnerabilidade aqui.
Update: pra quem usa Ubuntu, orientações pra atualizar o bash e eliminar a vulnerabilidade aqui.
Via GigaOM.
Nenhum comentário:
Postar um comentário