bash (kevinspencer / Flickr)
Da Redação
Publicado em 25 de setembro de 2014 às 09h31.
Usuários de Linux e outros sistemas operacionais baseados em UNIX (as distribuições e o OS X, por exemplo) ganharam algo a mais para se preocupar nesta quarta. Especialistas em segurança da Red Hat divulgaram no blog da empresa a descoberta de uma vulnerabilidade no Bourne Again Shell, o GNU Bash, que permite a execução de códigos no momento em que o interpretador de comandos é invocado seja pelo usuário ou por algum software.
De acordo com o site Ars Technica, a brecha foi encontrada pelo especialista Stéphane Schazelas e está relacionada à forma como o Bash processa variáveis de ambiente passadas pelo sistema operacional ou por um programa que solicita um script bash-based. Ela afeta as versões de 1.14 a 4.3 do shell e é ativada quando ele é aberto e um código extra é adicionado ao fim das suas definições de funções, como explicam os especialistas da Red Hat.
Como há um bom número de aplicações que solicitam o Bash que faz a interface com o kernel do sistema operacional , dá para imaginar o tamanho do problema. A distribuidora de soluções baseadas em Linux cita o caso de clientes DHCP, por exemplo, que solicitam shell scripts para configurar o sistema. Se esses comandos vêm de um servidor DHCP afetado pela brecha, torna-se possível rodar comandos diversos na máquina em que está o cliente.
Correções para a vulnerabilidade já foram liberadas pelos responsáveis por algumas das principais distribuições de Linux, como o Red Hat Enterprise Linux, o Fedora, o Ubuntu, o CentOS e o Debian. É bom atualizá-los o quanto antes. A Apple ainda está devendo uma correção para o OS X, mas um pequeno update deve ser liberado em breve, como apontou o Ars Technica.
Apesar da menor divulgação, o problema já foi considerado pelo especialista Robert Graham como tão grande quanto o Heartbleed, encontrado no OpenSSL em abril deste ano. Muito disso se deve fato de que o bug interage com outros programas de formas inesperadas, como ele explica no blog.
Mas os problemas podem se estender até aos dispositivos mais antigos e aos relacionados à Internet das Coisas (como roteadores, lâmpadas e tantos outros), que provavelmente não receberão patches de correção para a falha e interagem com scripts Bash para rodar comandos. Ou seja, é possível que servidores fiquem livres do bug, mas vários outros aparelhos menos importantes não e o cenário previsto por Graham não bom. Vale checar o texto aqui e entender melhor a brecha aqui.