Alcuni giorni fa è venuto alla luce un altro bug che affligge i sistemi Unix (tra cui OSX). La gravità del bug è ai livelli del famosissimo Heartbleed, stavolta però a essere colpita è la shell bash, utilizzata anche da OSX, per cui il bug è stato chiamato shellshock.
Sfruttando tale vulnerabilità è possibile avere il controllo completo di una macchina unix, però c’è da precisare che l’utente medio mac non è colpito direttamente da shellshock a meno che non abbia attivo il server apache, il quale di solito è disattivato di default.
Per verificare se la vostra macchina è colpita dal bug digitate il comando:
env X=”() { :;} ; echo vulnerable” /bin/sh -c “echo stuff”
se otterrete la scritta vulnerable siete afflitti dal bug, se invece ricevete un messaggio d’errore, la vostra macchina non è soggetta a tale vulnerabilità.
Apple ha promesso che rilascerà una patch a breve, ma qualcuno ha già provveduto a tappare la falla e la procedura non è nemmeno tanto complicata.
La prima cosa da fare è il download di xcode da mac app store.
Poi bisogna installare i command line tool, il comando è:
sudo xcode-select –install
Una volta installati, accettiamo la licenza digitando il comando:
sudo xcodebuild -license
Fatto ciò non rimane che scaricare la patch che trovate su https://raw.githubusercontent.com/tjluoma/bash-fix/master/bash-fix.sh, potete cliccare su link precedente con il tasto destro e selezionare salva destinazione con nome.
Una volta scaricata la patch, digitiamo il comando:
sudo chmod 755 <trascinare il file scaricato>
Infine l’ultimo comando da digitare è:
sudo <trascinare il file scaricato>
Verrà avviata una procedura automatica che ricompilerà la bash a cui verrà applicata la patch.
Potete provare di nuovo lo script di verifica della vulnerabilità, ma a questo punto il risultato sarà come nell’immagine di seguito, riceverete il messaggio d’errore che indica l’immunità della vostra macchina a shellshock.
Ripeto l’utente medio che usa il mac normalmente può stare tranquillo, chi invece utilizza il suo mac in maniera avanzata non avrà problemi a seguire la procedura descritta.
Buon lavoro
Aggiornamento
Apple ha rilasciato un aggiornamento ufficiale per la correzione di shell-shock, lo trovare su http://support.apple.com/kb/DL1769?viewlocale=en_US&locale=en_US