Aggiornato bash... finalmente!

Apple ha finalmente rilasciato l’aggiornamento per bash, un componente fondamentale dei sistemi operativi derivati da Unix, fra cui c’è lo stesso OS X.

La settimana scorsa si è sparsa la notizia della scoperta di questa gravissima falla di sicurezza nella shell bash, il componente software che interpreta ed esegue i comandi del Terminale, diventata ormai da anni la shell di default di OS X e di quasi tutte le distribuzioni di Linux.

Per scoprire se il proprio sistema è affetto dalla falla (e se siete su OS X lo è di sicuro), basta lanciare il Terminale ed eseguire questo comando,

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Se vengono stampate le due righe,

vulnerable
this is a test

la shell bash è affetto dalla vulnerabilità.

Scaricando l’aggiornamento di bash dal sito di Apple (quello di Mavericks è qui, ma ci sono anche le versioni per Mountain Lion e per Lion) ed installandolo sul proprio sistema, ci vuole un minuto in tutto, si dovrebbe riuscire a appare questa falla.

Dopo l’installazione, eseguendo di nuovo dal Terminale il comando di sopra si ottiene soltanto

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

È un bene che Apple abbia rilasciato l’aggiornamento. Ma bisogna anche aggiungere: finalmente.

Avrebbe dovuto essere più veloce, non trincerarsi dietro la pretesa assurda che la vulnerabilità colpisce solo pochi utenti. Perché non è vero. Anche chi non sa nemmeno cosa sia il terminale può benissimo usare programmi che usano bash dietro le quinte, ritrovandosi a rischio senza nemmeno sospettarlo.