Posiblemente muchos de ustedes hayan oido ya hablar de la vulnerabilidad encontrada en Bash Shell Shock, dicha vulnerabilidad o bug como querais llamarlo, afecta a la mayoría de líneas de comando que usan los sistemas operativos Linux y Unix, permitiendo tomar el control de cualquier la linea de comando Bash. Las grandes compañias se han puesto manos a la obra y han lanzado rapidamente un parche de seguridad que corrige dicho bug.

En DBigCloud o vamos a explicar como actualizar bash y estar protegidos de esta vulnerabilidad. 

 

  • Para los sistemas basados en yum (Centos, RedHat, Fedora...)
    yum -y update bash

     

  • Para los sistemas basados en apt-get (Debian, Ubuntu...)

    sudo apt-get update && sudo apt-get install --only-upgrade bash

     

Ahora debeis de comprobar si realmente habeis actualizando lanzando lo siguiente a través de la linea de comandos:

 env x='() { :;}; echo vulnerable' bash -c "echo DBigCloud Shell Shock Corregido"

 Si recibiis el mensaje vulnerable quiere decir que no habeis parcheado correctamente, en caso contrario recibireis el mensaje DBigCloud Shell Shock Corregido.

 

ACTUALIZACION:

Esta comprobación que hemos realizado anteriormente chequea el problema CVE-2014-6271 que fue el inicial reporte.

Para verificar que estamos a salvo del problema planteado en el CVE-2014-7169 (que fue reportado un dia despues) debemos ejecutar lo siguiente:

 

cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>\' bash -c "echo date"; cat /tmp/echo

Si recibimos algo como esto:

bash: x: line 1: syntax error near unexpected token `='
bash: x: line 1: `'
bash: error importing function definition for `x'
Fri Sep 26 11:49:58 GMT 2014

Es que no tenemos parcheada la última versión de bash, para ello deberiamos de volver a lanzar los comandos de updates visto al comienzo. Si estuviese parcheado correctamente recibiremos un mensaje parecido a esto:

date
cat: /tmp/echo: No such file or directory 

 

Por lo que si parcheastes el día 25 de Septiembre muy probablemente no estes a salvo de este bug y será necesario realizar de nuevo el update.


Compártelo:

FacebookTwitterDiggGoogle BookmarksLinkedIn

Daniel Romero Sanchez
Author: Daniel Romero SanchezWebsite: https://www.dbigcloud.com
Responsable de sistemas y Arquitecto Cloud - vExpert 2015/19- VCP550-DCV - LPIC-1


Comentarios  

0 # Como actualizar bash para prevenir Shell Shockhow to set up 13-11-2014 10:10
Good day! I simply wish to offer you a huge thumbs up for your excellent information you've got here on this post.
I will be returning to your website for more soon.
Responder

DBigCloud en tu idioma

esenfrdeitpt

Gold Sponsor

 

vExpert 2020

DbigCloud newsletter

Suscribete a nuestra newsletter y recibe cada semana los mejores artículos seleccionados por DBigCLoud.
Email type
Please wait