[CentOS-es] Inyección de código a través de bash

Carlos Tirado Elgueta carlos.tirado en gmail.com
Jue Sep 25 18:37:36 UTC 2014


Leo comentarios que el parche entregado no seria 100% preciso para detener
esta vulnerabilidad y que dentro de pocos deberemos nuevamente actualizar a
la brevedad.

Ejemplo:

env X='() { (a)=>\' sh -c "echo date"
cat echo

https://access.redhat.com/articles/1200223

El 25 de septiembre de 2014, 12:28, César Martinez <
cmartinez en servicomecuador.com> escribió:

> Gracias por el dato Epe
>
> --
> Saludos Cordiales
>
> |César Martínez | Ingeniero de Sistemas | SERVICOM
> |Tel: (593-2)554-271 2221-386 | Ext 4501
> |Celular: 0999374317 |Skype servicomecuador
> |Web www.servicomecuador.com Síguenos en:
> |Twitter: @servicomecuador |Facebook: servicomec
> |Zona Clientes: www.servicomecuador.com/billing
> |Blog: http://servicomecuador.com/blog
> |Dir. Av. 10 de Agosto N29-140 Entre
> |Acuña y  Cuero y Caicedo
> |Quito - Ecuador - Sudamérica
>
>
> On 24/09/14 23:02, Ernesto Pérez Estévez wrote:
>
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA256
>>
>> hola
>> El día de hoy fue hecho público un anuncio de que el popular shell
>> bash contiene una falla de seguridad que permite a atacantes remotos
>> ejecutar código arbitrario en un sistema.
>>
>> bash no solamente se utiliza de forma local, sino por poner dos
>> ejemplos: a través de ssh y para ejecutar aplicaciones web a través de
>> cgi.
>>
>> Se puede verificar si su paquete bash presenta esta vulnerabilidad con
>> la ejecución de la siguiente prueba:
>>
>> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
>>
>> si al ejecutar el anterior código se imprimen las líneas
>> "vulnerable
>> this is a test"
>> El sistema es vulnerable y debe ser actualizado.
>>
>> Si se imprime un mensaje de error parecido a este:
>> "bash: warning: x: ignoring function definition attempt
>> bash: error importing function definition for `x'
>> this is a test"
>>
>> El sistema NO debe ser vulnerable.
>>
>> Es imperioso se actualicen todos los sistemas operativos Linux y Mac
>> que son los que más uso hacen de bash.
>>
>> al momento ubuntu, debian, RHEL y CentOS han publicado actualizaciones
>> de sus paquetes de bash. En el caso de CentOS o RHEL debe ejecutarse:
>>
>> yum update bash (o podría usarse yum update para actualizar todos los
>> paquetes que requieran ser actualizados).
>>
>> En el caso de ubuntu y debian podría utilizarse:
>> apt-get update; apt-get upgrade
>>
>> Más información en
>> https://securityblog.redhat.com/2014/09/24/bash-specially-
>> crafted-environment-variables-code-injection-attack/
>>
>> saludos
>> Ernesto Pérez
>> CSIRT-CEDIA
>> -----BEGIN PGP SIGNATURE-----
>> Version: GnuPG v1
>>
>> iQIcBAEBCAAGBQJUI5PfAAoJEI8SQ0eoZD/XZusP/304wDY3sZTPsaBueivokUkz
>> VrltUTWM8aMzX91Uh5RKjzzBQEucPb2sJELNVfilRUknM3vpTtxCUSvejVn4k8k7
>> KO6B0LNd0hxhVSOpS4gb5j5gUkjPDDQFB5DVSG1940pFvDkSQPUIWvUFOyjPW9gm
>> sSnYN5cypfKZ2bsMsRJDC4syUplO6P2dhwntHH8K50p2sDMrFjqYCFtTVS7CsHGO
>> OFSw1TduMXxcqDkXW83i+BRa6FMhy3VqyZUJxZs6yfHb84ViL33EqtohMsBTE4Tk
>> bj63B1ykDduF5nJ5giKYe4+J03I+BQI0YEqvPPyK1cvbsxNt9p849RnqefpX0UHP
>> 6PqIj8DWr8YBj3cZpzH4E2wWTOjMjILBhTGg3spZwqh6XuUH5FNojRJ5VMH8p1xI
>> 5E0mJoRr0CR/OuiCcxbHq4hMWZhwHjsPQ3+NnYsQfIj4IIU6C8sNIQa/gxZ8x4Tx
>> YuaTy9CKzAsuy82PXT0ec02TKYZ8/zk25//9CY+7RrdBMjlGvDiv0qExGf6x6buF
>> KtcPrAVge9bk0lNBjBnom8kOgqlU/9SF7RH8QoiEK9PqDUfh9lq7gPWGEwx5yxZW
>> JxSluLODHu0QkkfbXawgZ+2t+vlkaYHfWgX191dN7kW6pVMl7Pr6Is91r/Rfjesq
>> z28D4VrjYykcmDdeZUSz
>> =0kuj
>> -----END PGP SIGNATURE-----
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
Carlos Francisco Tirado Elgueta
Google Apps for Business Partner Chile
http://www.chilemedios.cl


Más información sobre la lista de distribución CentOS-es