Un bug en Bash vulnera la seguridad de sistemas Linux, Unix y OS X

Ricardo Cambre
118 568 101
Noticias » Tecnología
El ingeniero Stéphane Chazelas ha descubierto una importante vulnerabilidad en el shell GNU Bash que permite ejecutar código de forma remota. Este programa es el intérprete de comandos por defecto en múltiples distribuciones de Linux y en otros sistemas Unix, incluyendo a OS X de Apple

El investigador de seguridad Robert Graham ha asegurado que el bug es una "amenaza tan grande como Heartbleed" debido a la extensión, antigüedad y características del problema. De forma similar a la vulnerabilidad de OpenSSL, restaurar la seguridad de Bash requiere parchear una gran cantidad de aparatos, entre los que se incluyen dispositivos IoT (Internet of Things) como videocámaras.

"Un enorme porcentaje del software interactúa con el shell de alguna forma", escribe Graham en su blog. "Por lo tanto, nunca seremos capaces de catalogar todo el software que hay por ahí vulnerable al bug de Bash. […] El número de sistemas que se deben parchear, y que no lo harán, es mucho más grande que con Heartbleed".

Por el momento, las populares distros Red Hat, Fedora, Ubuntu y Debian ya han publicado sendos parches para evitar el llamado "Bug Bash" o "Shellshock". Mientras tanto, Apple todavía no ha afrontado la vulnerabilidad en OS X, aunque ha lanzado recientemente una actualización para las "herramientas de línea de comandos".

El blog de seguridad de Red Hat ha confeccionado un pequeño test para comprobar si un sistema es vulnerable. Para realizar la prueba tan solo es necesario abrir una línea de comandos y escribir el siguiente código:

env x='() { :;}; echo vulnerable' bash -c "echo esto es un test"

Si el sistema es vulnerable, el retorno será el siguiente:

vulnerable
esto es un test

Mientras que en caso negativo se podrá leer:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
esto es un test
101 comentarios
  1. Joe, ni los sistemas Unix se salvan de bugs. Mucho ojo gente!
  2. Acabo de probarlo en cyanogenmod 11 (en la aplicacion terminal que viene instalada por defecto) y solamente me sale "this is a test", ni vulnerable, ni los mensajes de error...

    edit: Vale, lo habia copiado mal, si que dice que es vulnerable
  3. segun he leido por mi distro, el parche propuesto todavia es incompleto.a la espera de un parche más refinado

    el test ese yo lo paso OK (parcheado ayer)
  4. mas afectados si, pero necesitas tener acceso a la máquina para liarla
  5. No se salva ni unix ya de los bugs...
  6. pero es un bug de bash, no del sistema operativo base
  7. Un bug para controlarlos a todos...
  8. Vale os confirmo que OS X 10.9.4 es vulnerable, lo acabo de probar.

    Menuda gracia :o

    Tendré que actualizar a la 10.9.5 que está disponible ya a ver que pasa.
    Mañana que tengo tiempo lo haré.

    Saludos.
  9. ooyamaneko escribió:Vale os confirmo que OS X 10.9.4 es vulnerable, lo acabo de probar.

    Menuda gracia :o

    Tendré que actualizar a la 10.9.5 que está disponible ya a ver que pasa.
    Mañana que tengo tiempo lo haré.

    Saludos.


    10.9.5 también vulnerable. Lo acabo de probar ahora mismo :)

    A esperar a ver cuándo se decide Apple a lanzar un parche para ésto.

    Saludos,
  10. nserbass escribió:
    ooyamaneko escribió:Vale os confirmo que OS X 10.9.4 es vulnerable, lo acabo de probar.

    Menuda gracia :o

    Tendré que actualizar a la 10.9.5 que está disponible ya a ver que pasa.
    Mañana que tengo tiempo lo haré.

    Saludos.


    10.9.5 también vulnerable. Lo acabo de probar ahora mismo :)

    A esperar a ver cuándo se decide Apple a lanzar un parche para ésto.

    Saludos,


    Gracias! Esperemos que no tarde mucho, no me apasiona nada andar con un bug conocido en el ordenador. Remarco conocido porque a saber cuantos desconocidos tenemos [360º] .
Ver más comentarios »