This post is also available in: Inglese

Reading Time: 4 minutes

Dopo la tempesta causata dal bug Heartbleed che ha colpito numerosi programmi basati su OpenSSL, ora è di nuovo bufera per un altrettanto grave problema che affligge sempre il mondo Linux e OpenSource: il bug Shellshock colpisce la bash, l’interprete dei comandi standard su quasi tutti i sistemi Linux (e anche alcuni Unix).

La criticità della bash è stata pubblicata il giorno 24 settembre 2014 (CVE-2014-6271, CVE-2014-7169) e dimostra come si potenzialmente semplice sfruttare questo bug (tra l’altro non è neppure chiarissimo da quanto tempo vi sia).

La maggior parte delle distribuzione ha già rilasciato una patch, ma per quanto riguarda i sistemi basati su Linux e/o componenti OpenSource?

Come successo con il bug Heartbleed, VMware ha realizzato un’apposito articolo di KB per ragguagliare su problema, in particolare si tratta del KB 2090740: VMware assessment of Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271 CVE-2014-7169, aka “Shellshock”).

Come si può constatare dalla KB, VMware ESXi non è affetto dal problema, ma semplicemente perché è basata su un “Linux embedded” (chiamato busybox) che non include bash come interprete dei comandi. Però sia ESX 4.0 che  ESX 4.1 sono invece affetti da questo bug (sarebbe anche l’occasione per aggiornare direttamente il prodotto, considerando anche il VMware lifecycle policy, o almeno passare ad ESXi).

Vanno però considerati tutti i vari prodotti che includono o che sono basati su Virtual Appliance Linux (da questo punto di vista, avere un virtual appliance è possibile svantaggio) che andrebbero considerati dei black-box ed aggiornati solo con aggiornamenti ufficiali di VMware (benché nella maggior parte si tratti di VM basate su SuSe o CentOS).

Nella citata KB, si elencano i vari prodotti di VMware che hanno VA basate su Linux e che potrebbero essere affette dal problema Shellshock:

  • EVO:RAIL 1.x
  • Horizon DaaS Platform 6.x
  • Horizon Workspace 1.x, 2.0
  • IT Business Management Suite 1.x
  • NSX for Multi-Hypervisor 4.x
  • NSX for vSphere 6.x
  • NVP 3.x
  • vCenter Chargeback 2.x (strano che questo prodotto sia indicato, visto che CBM è un software per Windows)
  • vCenter Hyperic Server 5.x
  • vCenter Infrastructure Navigator 5.x
  • vCenter Log Insight 1.0, 2.0
  • vCenter Operations Manager 5.x
  • vCenter Orchestrator Appliance 4.x, 5.x
  • vCenter Server Appliance 5.x (ovviamente non riguarda il vCenter Server per Windows)
  • vCenter Support Assistant 5.x
  • vCloud Automation Center 6.x (vCloud Automation Center 5.x non è basato su virtual appliance)
  • vCloud Automation Center Application Services 6.x
  • vCloud Connector 2.x
  • vCloud Networking and Security 5.x
  • vCloud Usage Meter 3.x
  • vFabric Application Director 5.x, 6.x
  • vFabric Postgres 9.x
  • Viewplanner 3.x
  • VMware Application Dependency Planner
  • VMware HealthAnalyzer 5.x
  • VMware Studio 2.x
  • VMware TAM Data Manager
  • VMware Workbench 3.x
  • vSphere App HA 1.x
  • vSphere Big Data Extensions 1.x, 2.x
  • vSphere Data Protection 5.x
  • vSphere Management Assistant 5.x
  • vSphere Replication 5.x
  • vSphere Storage Appliance 5.x (questo prodotto comunque sarebbe da sostituire con Virtual SAN)

C’è quindi da tenere controllato il sito degli aggiornamenti di VMware in attesa di (molti) aggiornamenti.

C’è poi da aggiungere vCloud Director che anche se non è disponibile in VA (in realtà sì, ma solo nella trial) è un prodotto basato su Linux e quindi andrà mantenuta aggiornata la relativa distribuzione. Stesso discorso per ogni altro prodotto installato su sistemi Linux.

E ovviamente qualunque VM Linux che giri in un ambiente cloud pubblico basato su IaaS (non che PaaS o SaaS siano immuni, ma in quel caso sarà cura del provider identificare la relativa soluzione).

Per quanto riguarda i servizi di tipo cloud pubblico di VMware, questa è la relativa lista come riportato nella KB:

  • AirWatch MDM Cloud Services – Investigation ongoing
  • Horizon DaaS – Not affected
  • IT Business Management – Bash patches applied Sept 26, 2014
  • Socialcast – Bash patches applied Sept 26, 2014
  • vCloud Air – Investigation ongoing
Share

Virtualization, Cloud and Storage Architect. Tech Field delegate. VMUG IT Co-Founder and board member. VMware VMTN Moderator and vExpert 2010-24. Dell TechCenter Rockstar 2014-15. Microsoft MVP 2014-16. Veeam Vanguard 2015-23. Nutanix NTC 2014-20. Several certifications including: VCDX-DCV, VCP-DCV/DT/Cloud, VCAP-DCA/DCD/CIA/CID/DTA/DTD, MCSA, MCSE, MCITP, CCA, NPP.