Vulnerabilidad de Bash: Shellshock

Publicado 26-09-2014

Ha aparecido una nueva vulnerabilidad para servidores UNIX que tengan como shell al conocido Bash. Este es el aviso de US-CERT/NIST .

Este bug permite la ejecución de código arbitrario desde aplicaciones que hagan llamadas al shell. Se recomienda la inmediata actualización de todos los sistemas que tengan Bash instalado.

Comprobar si somos vulnerables

Ejecutar en bash esta órden: env x='() { :;}; echo vulnerable' bash -c "echo this is a test".

Si obtenemos un resultado como el siguiente, la respuesta es afirmativa:

1»» env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
2vulnerable
3this is a test

Actualizar el sistema

Las distros más importantes ya han corregido el problema y basta con actualizar. Por ejemplo en Debian:

1»» apt-get update && apt-get upgrade

Comprobar de nuevo

Introducimos el mismo comando y veremos lo siguiente:

1»» env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
2bash: warning: x: ignoring function definition attempt
3bash: error importing function definition for `x'
4this is a test

Urgencia

El bug está calificado como grave. Es urgente actualizar todos los sistemas.

Comentarios por Disqus