Un portavoz de Apple ha segurado que la mayoría de los usuarios de OS X frnete al problema de seguridad de Bash y ha prometido una actualización muy pronto que solucione esta vulnerabilidad.
La declaración fue hecha a iMore y el portavoz seguró que en Apple ya se está trabajando en una actualización que soluciona este problema de seguridad.
La vulnerabilidad de Bash, a la que le han puesto de nombre ShellShock, es un grave problema de seguridad.
Bash (Bourne again shell) es un programa informático cuya función consiste en interpretar órdenes. Está basado en la shell de Unix y es compatible con POSIX.
Fue escrito para el proyecto GNU y es el intérprete de comandos por defecto en la mayoría de las distribuciones de GNU con Linux. Su nombre es un acrónimo de Bourne-Again Shell (otro shell bourne) — haciendo un juego de palabras (born-again significa renacimiento) sobre el Bourne shell(sh), que fue uno de los primeros intérpretes importantes de Unix. [Wikipedia]
Ya hay parches para múltiples variantes de Linux (CentOS, Debian, Red Hat), y los servicios de los grandes de Internet como Akamai ya han tomado medidas. Sin embargo, la edad y la ubicuidad de la vulnerabilidad implica que hay algunos servidores antiguos y otros dispositivos conectados a Internet que no (y en algunos casos, no pueden) ser parcheados contra esta vulnerabilidad.
Bueno, seguros no porque esten seguros, sino por el uso que dan a los equipos.
Aun con eso…
http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an/146851#146851
Aquí hay un artículo que lo explica para gente normal, cómo los usuarios de Mac.
En inglés, eso sí.
Podría servir de base para un artículo de Carlos sobre el tema:
http://www.vox.com/2014/9/25/6843949/the-bash-bug-explained
Lo comento en este, aunque estábamos hablando del asunto en el otro post.
Ya ha salido un nuevo parche y con este no parece funcionar el fallo:
# X='() { (a)=>’ bash -c «echo ls /etc; cat echo»
ls /etc
cat: echo: No existe el fichero o el directorio
Por lo geneal creo que los ordeandores personales están a salvo por no tener accesible el bash, no así todos los servidores que hay por ahí, aunque casi todas las distribuciones (no me atrevo a decir todas) ya tienen sus parches.
# apt-get upgrade
Reading package lists… Done
The following packages will be upgraded: bash
#4 cuidado, que si ese servidor que estas mostrando es una ubuntu server, uno que tengo yo por aqui sigue siendo vulnerable…
#3 vick21 estas ejecutando el comando cómo [i]root[/i] (#) y entonces no tiene gracia. 🙂
La gracia es que ejecutando esa linea por un usuario no privilegiado, si el sistema está vulnerable, puedes escribir un fichero que es propiedad de [i]root[/i] y ese fichero puede ser un [i]script[/i] que, ejecutado cómo [i]root[/i] te haga algunas maldades.
#4 Rafa.
Tienes razón con lo de un ordenador personal, no obstante hay una «rebuscancia» que sí podría afectar a un ordenador personal. Piensa en un router malicioso que te esté dando una configuración DHCP «rarilla», por ejemplo en una WiFi abierta (no un hotspot) que encuentres por la calle y… y sigue imaginando 🙂
#4 ay!!! miedo me da.
Una medida de seguridad que últimamente tomo es no conectarme a Wifis de la calle, de bares de nada, prefiero gastar datos 3G que estar por ahí a expensas de algún estudiante aburrido «esnifando» conexiones!!! Ya sé que ambas «snifables», pero las wifis lo hace cualquiera y las otras es más
#5 es un Debian 6 con repositorio LTS, y lo mismo en un Debian 7, estaré atento por si surge algún nuevo parche.
Y mientras internet, muy, muy enterada
[img]http://files3.soniccdn.com/files/2014/09/27/captura-de-pantalla-2014-09-27-a-la-s-070904.jpg[/img]
#8 tranquilo, se puede leer de todo. El problema es la gente que lea a «esa persona» y sea mal informada.