Posiblemente muchos de ustedes hayan oido ya hablar de la vulnerabilidad encontrada en Bash Shell Shock, dicha vulnerabilidad o bug como querais llamarlo, afecta a la mayoría de líneas de comando que usan los sistemas operativos Linux y Unix, permitiendo tomar el control de cualquier la linea de comando Bash. Las grandes compañias se han puesto manos a la obra y han lanzado rapidamente un parche de seguridad que corrige dicho bug.
En DBigCloud o vamos a explicar como actualizar bash y estar protegidos de esta vulnerabilidad.
- Para los sistemas basados en yum (Centos, RedHat, Fedora...)
yum -y update bash
-
Para los sistemas basados en apt-get (Debian, Ubuntu...)
sudo apt-get update & sudo apt-get install --only-upgrade bash
Ahora debeis de comprobar si realmente habeis actualizando lanzando lo siguiente a través de la linea de comandos:
env x='() { :;}; echo vulnerable' bash -c "echo DBigCloud Shell Shock Corregido"
Si recibiis el mensaje vulnerable quiere decir que no habeis parcheado correctamente, en caso contrario recibireis el mensaje DBigCloud Shell Shock Corregido.
ACTUALIZACION:
Esta comprobación que hemos realizado anteriormente chequea el problema CVE-2014-6271 que fue el inicial reporte.
Para verificar que estamos a salvo del problema planteado en el CVE-2014-7169 (que fue reportado un dia despues) debemos ejecutar lo siguiente:
cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echoSi recibimos algo como esto:
bash: x: line 1: syntax error near unexpected token `='
bash: x: line 1: `'
bash: error importing function definition for `x'
Fri Sep 26 11:49:58 GMT 2014
Es que no tenemos parcheada la última versión de bash, para ello deberiamos de volver a lanzar los comandos de updates visto al comienzo. Si estuviese parcheado correctamente recibiremos un mensaje parecido a esto:
date
cat: /tmp/echo: No such file or directory
Por lo que si parcheastes el día 25 de Septiembre muy probablemente no estes a salvo de este bug y será necesario realizar de nuevo el update.