Vulnerabilidad de Bash: Shellshock
Publicado 26-09-2014
Ha aparecido una nueva vulnerabilidad para servidores UNIX que tengan como shell al conocido Bash. Este es el aviso de US-CERT/NIST .
Este bug permite la ejecución de código arbitrario desde aplicaciones que hagan llamadas al shell. Se recomienda la inmediata actualización de todos los sistemas que tengan Bash instalado.
Comprobar si somos vulnerables
Ejecutar en bash esta órden: env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
.
Si obtenemos un resultado como el siguiente, la respuesta es afirmativa:
Actualizar el sistema
Las distros más importantes ya han corregido el problema y basta con actualizar. Por ejemplo en Debian:
1»» apt-get update && apt-get upgrade
Comprobar de nuevo
Introducimos el mismo comando y veremos lo siguiente:
Urgencia
El bug está calificado como grave. Es urgente actualizar todos los sistemas.