Reportada vulnerabilidad crítica en el mayoritario intérprete de comandos Bash. Esta vulnerabilidad afecta a Unix, OS X, Linux… se barajan cifras aproximadas de 500 millones de equipos afectados.
La brecha de seguridad, existente desde muchísimos años, ha sido descubierta y notificada por Stephane Chazelas, puede ser explotada para infinidad de fines maliciosos, como ejecutar remotamente aplicaciones, modificar la configuración del equipo o el acceso a la información almacenada.
La brecha está basada en el incorrecto análisis y tratamiento de las variables de entorno.
Comprobar la vulnerabilidad #shellshock
Puedes comprobar con estas herramientas online la vulnerabilidad de tu servidor:
Comprueba si tu equipo es vulnerable manualmente de la siguiente manera:
– Abre una consola y ejecuta el siguiente comando:
env x=’() { :;}; echo vulnerable’ bash -c ‘echo hello’
– Si el sistema es vulnerable se muestra en pantalla:
vulnerable hello
– Si el sistema no es vulnerable se muestra en pantalla:
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ hello
También puedes acceder al repositorio GitHub de Hannob, donde está publicado este script.
Mitigar la vulnerabilidad #shellshock
Dependiendo de la distribución, debes actualizar el intérprete de comandos bash:
Debian/Ubuntu:
sudo apt-get update && sudo apt-get install –only-upgrade bash
CentOS, Fedora o Red Hat:
sudo yum update bash
En los siguientes enlaces, podrás ampliar información al respecto, escoge tu distribución o visita la web del proyecto: