Shellshock, el Heartbleed nuestro de cada día

Shellshock, el Heartbleed nuestro de cada día

Actualización 29/09/2014: Todos nuestros sistemas ya se encuentra correctamente actualizados, y hemos revertido la implementación provisoria de zsh en lugar de bash, entre los días 27/09 y 29/09.

Internet todavía está recuperandose del golpe que significó la vulnerabilidad de Heartbleed en OpenSSL en Abril de este año, y ya tenemos una nueva vulnerabilidad -de iguales o peores características-.

En esta oportunidad, el software afectado es GNU Bash, la consola casi de-facto en todas las instalaciones de Linux (y presente también en MacOS, FreeBSD, OpenSolaris, etc). Shellshock, como se la está dando a conocer afecta a el 100% de las versiones de bash existentes (a diferencia de Heartbleed que afectaba a las versiones de los últimos 2 años, en este caso hay más de 20 años de versiones afectadas).

Básicamente, esta vulnerabilidad en bash permite que cualquier usuario (logueado o anónimo) que pueda escribir variables de entorno en una ejecución de bash, ejecute código a voluntad. De ahí en adelante, las posibilidades son infinitas. Los alcances de Shellshock están aún por verse, pero es más que probable que veamos una oleada de fallas de seguridad desde los grandes proveedores hasta las aplicaciones menos pensadas. Podrán por ejemplo ser afectados, los routers inalámbricos, muchos de los cuales usan software GNU para funcionar?

Al momento de escribir esta nota no existen parches de seguridad definitivos para corregir el problema.

En ELSERVER.COM hemos accionado con la velocidad que merece la situación, y ya hemos aplicado herramientas de mitigación para evitar que terceros puedan explotar la vulnerabilidad. Entre otras medidas, hemos reemplazado los binarios de bash por zsh de forma provisoria hasta tanto exista una corrección de seguridad definitiva.  Cabe destacar que para ser pasible de ser afectado por shellshock, hace falta tener subido al sitio alguna aplicación que utilice bash en algún momento. No es el caso por default para los servicios PHP en nuestra plataforma, aunque aquellos usuarios que hagan llamadas a exec() o variantes deben estar atentos. El cambio de shell que hemos realizado los va a mantener seguros mientras tanto.

Iremos actualizando la nota con más novedades, mientras tanto los invitamos a leer más información al respecto en:

http://www.wired.com/2014/09/internet-braces-crazy-shellshock-worm/

http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

https://access.redhat.com/node/1200223

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

Related Post

Deja un comentario

LAYOUT

SAMPLE COLOR

Please read our documentation file to know how to change colors as you want

BACKGROUND COLOR

BACKGROUND TEXTURE