-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
hola El día de hoy fue hecho público un anuncio de que el popular shell bash contiene una falla de seguridad que permite a atacantes remotos ejecutar código arbitrario en un sistema.
bash no solamente se utiliza de forma local, sino por poner dos ejemplos: a través de ssh y para ejecutar aplicaciones web a través de cgi.
Se puede verificar si su paquete bash presenta esta vulnerabilidad con la ejecución de la siguiente prueba:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
si al ejecutar el anterior código se imprimen las líneas "vulnerable this is a test" El sistema es vulnerable y debe ser actualizado.
Si se imprime un mensaje de error parecido a este: "bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test"
El sistema NO debe ser vulnerable.
Es imperioso se actualicen todos los sistemas operativos Linux y Mac que son los que más uso hacen de bash.
al momento ubuntu, debian, RHEL y CentOS han publicado actualizaciones de sus paquetes de bash. En el caso de CentOS o RHEL debe ejecutarse:
yum update bash (o podría usarse yum update para actualizar todos los paquetes que requieran ser actualizados).
En el caso de ubuntu y debian podría utilizarse: apt-get update; apt-get upgrade
Más información en https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environmen...
saludos Ernesto Pérez CSIRT-CEDIA