Una especie de Vulnerabilidades de seguridad en GNU Bourne Again Shell (Bash) Puede dejar el sistema que ejecuta el software vulnerable a daños y ataques. Conocida como Shellshock, la vulnerabilidad representa una amenaza mayor que la infame vulnerabilidad Heartbleed porque permite a los piratas informáticos tomar el control total del sistema de destino.
Descubierta por el gerente de TI francés Stéphane Chazelas que trabaja en el Reino Unido, la vulnerabilidad está relacionada con cómo Bash maneja las variables de entorno Pasado por el sistema operativo o un programa que invoca un script basado en Bash.
«Una parte significativa del software interactúa con el shell de alguna manera», dijo Robert David Graham de Errata Security en un entrada en el blog«Nunca podremos catalogar todo el software vulnerable a las vulnerabilidades de bash».
El Equipo de Preparación para Emergencias Informáticas de EE. UU. (US-CERT), parte del Departamento de Seguridad Nacional, también publicó alarma La vulnerabilidad afecta a los sistemas operativos basados en Unix, incluidos Linux y Mac OS X, y se recomienda a los usuarios obtener actualizaciones del sistema operativo de los proveedores de software.
Si bien muchos de los principales proveedores de distribución de Linux, incluidos sombrero rojo, sistema operativo central, ubuntuy Debian, se ha publicado una solución, Apple no ha parcheado el caso. La vulnerabilidad afecta a las versiones de Bash 1.14 a 4.3.
Para determinar si su sistema es vulnerable, puede ejecutar el siguiente comando:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Si el sistema es vulnerable, la salida será:
vulnerable
this is a test
Los sistemas no afectados (o parcheados) generarán:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'
this is a test
Para aquellos que no están familiarizados, Bash es un intérprete de línea de comandos creado por la Fundación de Software Libre sin fines de lucro. Es el shell predeterminado en la mayoría de las distribuciones de Linux, así como en el sistema operativo OS X de Apple.