viernes, 26 de septiembre de 2014

Shellshock, el nuevo y peligroso bug de Bash


En abril se publico un bug en OpenSSL (CVE-2014-0160), también conocido como Heartbleed, que afectaba a las conexiones seguras SSL con los servidores y que permitía capturar información (datos de usuarios, contraseñas, emails…) y que afectaba a mas de 500.000 servidores en todo el mundo, incluidos los de muchas multinacionales.
Hace unos días Stephane Schazelas ha publicado un bug que afecta a Bash (CVE-2014-6271), llamado Shellshock por Robert Graham y presente en los sistemas operativos basados en Unix, como Linux o Mac OS X. En este caso, el bug afecta tanto a servidores como a equipos domésticos y permite la inyección de código malicioso, modificar de las configuraciones, copiado de datos… directamente desde el equipo.
La diferencia de Heartbleed con Shellshock, es que el primero solo permitía acceder a información parcial y aleatoria de los servidores, en cambio Shellshock puede ser usado para tomar el control del propio servidor saltándose la seguridad y acceder a los datos completos.
Puedes consultar tanto las características de este bug como las versiones de bash que están afectadas en National Vulnerability Database y si usas linux en tu equipo puedes comprobarlo ejecutando un terminal el siguiente código:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Si tu equipo esta protegido debería mostrarte lo siguiente:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
hello
En el caso de que muestre el siguiente mensaje, el equipo es vulnerable y debes actualizar tu Bash para solventarlo.
vulnerable
hello
En muy poco tiempo habrá versiones parcheadas de Bash tanto para Linux como para Max OS X que solucionara el problema.

No hay comentarios:

Publicar un comentario