Shellshock

Quest articol chì l'è scrivuu in lombard, grafia milanesa.

Shellshock a l'è 'na familia de ses vulnerabilità ch'han colpii la Bash dal 1989 e risolta a settember 2014 che la permetteva de eseguì codes arbitràri in la deciarazion de 'na variabil.

Logo de la falla

Possibilità de attacch

A l'éra possibil doperàlla per di attacch in di script CGI gestii de la Bash o anca in di implementazion de SSH e DHCP.

Fonzionament

Tucc i variant de Shellshock se fonden in su la gestion fallada de 'na variabil volutament scrivuda in manera ambigoa, per esempi sènza la terminazion de la stringa, desbilanciaa, cont on alt numer de EOF o di fonzion malformaa ma cont dent on comand, che per el bug a l'éra eseguii cont i privilegg de la shell.

Riferiment

• ShellShock: falla critica in Linux, Mac OS X e altri sistemi operativi derivati da Unix
• Shellshock Bash Remote Code Execution Vulnerability Explained and How to Detect It
• Shellshock: How does it actually work?
• Shellshock capitolo 1. La prova pratica che le code review servono

Vos corelaa

• Dirty COW
• Heartbleed