El día de ayer fue hecho público un anuncio de que el popular shell bash contiene una falla de seguridad que permite a atacantes remotos ejecutar código arbitrario en un sistema.
bash no solamente se utiliza de forma local, sino por poner dos ejemplos: a través de ssh y para ejecutar aplicaciones web a través de cgi.
Se puede verificar si su paquete bash presenta esta vulnerabilidad con la ejecución de la siguiente prueba:
env x='() { :;}; echo vulnerable’ bash -c «echo this is a test»
si al ejecutar el anterior código se imprimen las líneas
«vulnerable this is a test»
el sistema es vulnerable y debe ser actualizado.
Si se imprime un mensaje de error parecido a este:
«bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ this is a test»
El sistema NO debe ser vulnerable.
Es imperioso se actualicen todos los sistemas operativos Linux y Mac que son los que más uso hacen de bash.
Al momento ubuntu, debian, RHEL y CentOS han publicado actualizaciones de sus paquetes de bash.
En el caso de CentOS o RHEL debe ejecutarse: yum update bash (o podría usarse yum update para actualizar todos los paquetes que requieran ser actualizados).
En el caso de ubuntu y debian podría utilizarse: apt-get update; apt-get upgrade
Más información en https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/