En abril se publico un bug en OpenSSL (CVE-2014-0160), también conocido como Heartbleed, que afectaba a las conexiones seguras SSL con los servidores y que permitía capturar información (datos de usuarios, contraseñas, emails…) y que afectaba a mas de 500.000 servidores en todo el mundo, incluidos los de muchas multinacionales.
Hace unos días Stephane Schazelas ha publicado un bug que afecta a Bash (CVE-2014-6271), llamado Shellshock por Robert Graham y presente en los sistemas operativos basados en Unix, como Linux o Mac OS X. En este caso, el bug afecta tanto a servidores como a equipos domésticos y permite la inyección de código malicioso, modificar de las configuraciones, copiado de datos… directamente desde el equipo. La diferencia de Heartbleed con Shellshock, es que el primero solo permitía acceder a información parcial y aleatoria de los servidores, en cambio Shellshock puede ser usado para tomar el control del propio servidor saltándose la seguridad y acceder a los datos completos. Puedes consultar tanto las características de este bug como las versiones de bash que están afectadas en National Vulnerability Database y si usas linux en tu equipo puedes comprobarlo ejecutando un terminal el siguiente código:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
" style="border-bottom-left-radius: 3px; border-bottom-right-radius: 3px; border-top-left-radius: 3px; border-top-right-radius: 3px; border: 1px solid rgb(204, 204, 204); display: block; font-family: Consolas, Inconsolata, Courier, monospace; font-size: 1em; font-weight: bold; letter-spacing: -1px; margin: 0px; padding: 0.5em; text-align: justify; word-break: break-all; word-wrap: break-word;">env x='() { :;}; echo vulnerable' bash -c 'echo hello'
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
hello
" style="border-bottom-left-radius: 3px; border-bottom-right-radius: 3px; border-top-left-radius: 3px; border-top-right-radius: 3px; border: 1px solid rgb(204, 204, 204); display: block; font-family: Consolas, Inconsolata, Courier, monospace; font-size: 1em; font-weight: bold; letter-spacing: -1px; margin: 0px; padding: 0.5em; word-break: break-all; word-wrap: break-word;">
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
hello
vulnerable
hello
" style="border-bottom-left-radius: 3px; border-bottom-right-radius: 3px; border-top-left-radius: 3px; border-top-right-radius: 3px; border: 1px solid rgb(204, 204, 204); display: block; font-family: Consolas, Inconsolata, Courier, monospace; font-size: 1em; font-weight: bold; letter-spacing: -1px; margin: 0px; padding: 0.5em; word-break: break-all; word-wrap: break-word;">
vulnerable
hello
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure