Una falla de seguridad en Bash, plataforma utilizada por los sistemas operativos Linux y Mac OS X, podría ser aún más grave que “Heartbleed”. La noticia fue confirmada por el departamento de Seguridad Interior de los Estados Unidos en un comunicado.
“Shellshock”, como ha sido dado a conocer el fallo, puede ser aprovechado por piratas informáticos para realizar ataques remotos ejecutando códigos arbitrarios en el sistema afectado. Para la oficina de Seguridad Informática el departamento de Seguridad Interior, si se creara un gusano de rápida extensión, se podría causar un daño aún más serio que con “Heartbleed”.
Básicamente, la falla en Bash podría permitir a delincuentes recuperar en la memoria de los servidores datos ingresados mediante conexiones seguras. “Esto va a ser mucho más grande que Heartbleed”, aseguró Rahul Kashyap, jefe de seguridad de Bromium Labs, una firma de seguridad con sede en California.
Para Kashyap, el bug encontrado en Bash podría afectar a millones de dispositivos, desde servidores web a computadoras Mac, u otros dispositivos que se conecten a internet a través de sistemas operativos de código abierto basado en Linux. Debido a que el software es tan prevalente, se abre la puerta a que los piratas informáticos puedan ingresar a cualquier hogar a través de un router doméstico y tomar el control de los equipos conectados a la red.
Es en este último punto donde radica la gravedad de la vulnerabilidad en Bash. Si Heartbleed permitía espiar dispositivos sin permiso, “Shellshock” sube la apuesta y permite secuestrar computadoras para usarlas para sus propios propósitos. Por ahora, el parche que se ha lanzado para solucionar la falla es provisorio, por lo que los usuarios que usan sistemas operativos que puedan llegar a ser afectados, deberían “aplicar medidas adicionales de seguridad”, según indicó Johannes Ullrich, de SANS Internet Storm Center, firma especializada en vigilancia de amenazas de seguridad en la web.
Che aclaren un poco mas esta nota , es un revista de tirada tecnica para los IT o que son ??? ,,, la forma de ataque es contra servidores apache con cgi habilitado o openssl por ejemplo llamadas al sshd , en esos casos el codigo puede ejecutar en forma remota comandos , para el caso de Mac es lo mismo , pero no afecta por lo que lei en el alerta de de don apple iphone e ipad , ……… En el caso de los sistemas mencionados con solo upgradear el bash ya se soluciona , hoy salieron todos histericos y no sabian que hacer ,, entrar a la pagina shellshock.net que no esta mencionada en esta revista y ahi estan los comando bash para probar si esta vulnerable o no , y los procedimientos , igual les digo si ponen shellshock test en google hay quchicientos sitios que hablan de esto , …………. Muchachos de redusers , media pila con lo tecnico ,
hola maestro , hoy me tuve q poner a parchear de todo , ingresa por cualquier daemon que este escuchando por tcp , afecta proncipalmente a apache si ejecuta los modulos cgi, y por openssl , por ejemplo sshd , por lo que lei y probe , con el tema de mac estaria bueno que lo aclaren estas notas por que me llamaron usuarios de ipad desesperados y iphone , en ipad y iphone no los afecta ,si a lion y no me acuerdo el otro os de mac , espero te sea de utilidad , sls
Cuanto dinerillo puso microsote en esta pagina para que mande esta publicación por dios me sorprende cada día mas los manotazo de ahogado que dan….
cristian, hay que estar demente para publicar un servidor ssh, hay otros métodos para lograr lo mismo, openvpn, por ejemplo.
Claro, pero estamos hablando de un server con acceso ssh, ya no necesitas hacer algo estrafalario para correr comandos de bash, el servidor te está autorizando a hacerlo. Tu autorizas a tus amigos a ejecutar comandos de bash.
Esto se aplica a Servidores que usan PHP, Perl, Python o similares, con acceso a bash, y que el usuario no debería tener acceso a bash.
Esto es una excelente publicidad para Microsoft(Windows),que históricamente es el sistema operativo mas vulnerado o acaso el estado esta haciendo lobby? o les conviene porque les resulta mas facil intervenir las Pc con Windows,cuando los muchachos del norte le apuntan a algo,siempre tengo dudas.
Pienso igual.
Casi todo el mundo…yo tengo el server ssh corriendo para que se puedan loguear amigos y conocidos a mi PC, muchisimos servers tienen el mismo servicio corriendo para que lo usen sus clientes…es uno de los servicios que mas se usan,…
Muchas veces cuando leo notas como estabas q me pregunto… Todo es alerta pero no dice como es q uno queda vulnerable… Solo con tenerlo instalado? Al abrir una terminal? Ejecutar un comando específico? Pareciera q siempre por arte de magia alguien puede usar nuestras computadoras o activar algo sin q nos demos cuenta… Tiene q haber algo ligado al bash y q escuche solicitudes x un puerto para q te hagan algo, bash no creo a tenga protocolos de comunicación entre computadoras de forma nativa…
[…] afirmativa a la gran cantidad de usuarios preocupados por el recientemente encontrado bug en Bash, también llamado Shellshock, y que también afecta a usuarios de Linux y otros sistemas basados en […]
<>>
Software Libre implica documentación e información totalmente pública. Así se detecta un problema y es corregido antes de que lo publique, por ejemplo, esta revista. Eso no pasa con el software propietario, donde todo funciona por ocultamiento ya que no disponen de los recursos o el interés suficiente para corregir todos los problemas.
Justamente son los mas seguros del mundo por que la vulnerabilidad ya fué solucionada antes de que saliera la nota, es mas la vulnerabilidad fué informada por la gente de Red Hat.
A la gente de Red USERS, no sean tan exagerados con las notas, ya parecen prensa amarillista.
Se puede usar el siguiente comando para saber si estas afectado
env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
Si la respuesta es “vulnerable this is a test”, estas afectado y solo tienes que actualizar tu sistema.
De todas formas la única manera que esto funciona es si alguien tiene acceso a tu terminal, por lo que deberías tener algún tipo de servidor que usara de alguna forma comandos de bash ( ¿¿¿Quien diablos tiene algo así???? )
(Ironic mode)Y Linux y Os X (que al final de cuentas es lo mismo) siguen siendo los S.O más seguros del mundo…
[…] entrada Alerta por “Shellshock”, una falla de seguridad que afecta a Linux y OS X aparece primero en […]