Shellshock, bug impossible da risolvere?

Gli esperti di sicurezza avevano previsto che il bug presente in Bash avrebbe richiesto molto tempo per essere risolto. Considerati i tentativi effettuati finora dalla varie software house, sembra proprio che Shellshock sia diventato un “bashgate”. Le patch rilasciate negli ultimi giorni non hanno infatti chiuso completamente la falla, per cui è ancora possibile eseguire comandi sul sistema remoto, ingannando la shell utilizzata da milioni di computer in tutto il mondo.

In seguito alla scoperta della vulnerabilità, molte distribuzioni Linux sono state aggiornate, ma la patch era solo temporanea e distribuita “per guadagnare tempo”. L’update successivo doveva invece risolvere definitivamente il bug, cosa che non è avvenuta. Dopo aver testato il nuovo codice, diversi ricercatori di sicurezza hanno rilevato che Shellshock è ancora presente e può essere sfruttato per compiere varie tipologie di attacchi da remoto. Uno sviluppatore open source, David A. Wheeler, ha spiegato che la vulnerabilità non potrà mai essere eliminata, finché Bash effettua automaticamente il parsing delle variabili di ambiente.

L’unica soluzione è modificare radicalmente il codice sorgente della shell. Bash dovrebbe importare solo variabili di ambiente quando esplicitamente richiesto. In FreeBSD, ad esempio, è stata disattivata l’importazione delle funzioni per evitare il parsing di comandi che consentono ad un malintenzionato l’accesso al sistema.

Questo e altri simili cambiamenti non sono però retrocompatibili. I servizi che usano vecchie versioni di bash non funzioneranno più. Gli sviluppatori dovranno quindi testare ed eventualmente modificare il proprio codice. Wheeler ritiene che i fix suggeriti non influenzeranno la maggioranza dei sistemi bash-dipendenti. Ci sono però molti dispositivi embedded che probabilmente non verranno mai aggiornati. Shellshock rimarrà un problema per molti, molti anni.