Arriva un nuovo terremoto legato ad un baco di sicurezza, questa volta legata a bash, una delle shell più diffuse in ambiente unix. Anche molti prodotti Citrix utilizzano questa shell in diversi modi: vediamo assieme come, dove e quando.
Citrix ha rilasciato un bollettino di sicurezza intitolato Citrix Security Advisory for GNU Bash Shellshock Vulnerabilities nel quale vengono analizzati i prodotti e gli eventuali problemi di sicurezza legati a questa vulnerabilità (CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187).
Attualmente non ci sono ancora patch rilasciate per risolvere questo problema, ma ci si aspetta che nei prossimi giorni il documento verrà aggiornato con ulteriori novità. La raccomandazione è sempre e solo una: per sfruttare la vulnerabilità è necessario collegarsi alla shell e pertanto è opportuno configurare ACL e accessi in modo da limitare al massimo il rischio di un ‘intrusione non voluta.
Per gli utenti della soluzione di Application Firewall, Citrix ha rilasciato un signature ad-hoc: Application Signature Protection for CVE-2014-6271 Shellshock Vulnerability.