Descubren vulnerabilidad de seguridad que podría ser más grande que Heartbleed

Imprimir Enviar

El bug, también llamado Shell Shock, permite al atacante ejecutar código tan pronto como se usa un script basado en Bash. A diferencia de Heartbleed que solo afectó a versiones específicas de OpenSSL, Shell Shock afecta a un gran número de dispositivos viejos en la red que no serán actualizados.

heartbleed

El bug, permite al atacante ejecutar código tan pronto como se usa un script

De Rodrigo Muñozaltea / Qore.com

Recientemente se publicó un reporte en el sitio securityblog.redhat.com que describe una vulnerabilidad en Bash (Born Again Shell), una línea de comando instalada en la mayoría de los sistemas operativos Linux y Unix. Esta falla de seguridad deja a computadoras y diversos dispositivos abiertos a ataques especializados.

El bug, también llamado Shell Shock, permite al atacante ejecutar código tan pronto como se usa un script basado en Bash. Esto abre la puerta a una gran variedad de ataques, pues si Bash está configurado como el Shell predeterminado, un atacante podría llevar a cabo una ofensiva remota por medio de peticiones web, sesiones de telnet u otros programas que Bash use para ejecutar código.

Red Hat y Fedora ya han liberado parches para solucionar el bug

A diferencia de Heartbleed que solo afectó a versiones específicas de OpenSSL, Shell Shock afecta a un gran número de dispositivos viejos en la red que no serán actualizados.

Para saber si tu sistema Linux o Unix es vulnerable, solo tienes que introducir el siguiente código en una línea de comando:

$ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”

Si tu sistema está afectado el resultado será:

vulnerable

this is a test

Si no, o el sistema ha sido parchado, el resultado será:

$ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test