El fallo tiene que ver a cómo Bash evalúa las variables de entorno, y éstas podrían ser especialmente diseñadas por un hacker para ejecutar comandos de la shell, por lo que podría derivar en ataques mayores según los conocimientos (o habilidades) de los intrusos. Desgraciadamente ciertos servicios y aplicaciones permiten proporcionar variables de entorno a atacantes remotos no autenticados, lo que, según el equipo de seguridad de Red Hat, puede llegar a ser un problema que los delincuentes pueden aprovechar.
La raíz de todo es que la Bash se utiliza frecuentemente como shell del sistema, por lo que esta vulnerabilidad puede terminar afectando a muchas aplicaciones. El caso extremo es que la aplicación requiera un script con permisos de super-usuario (conocido como root), lo cual podría hacerse con el sistema o el servidor completo.
Lo primero que se aconseja hacer es desinfectar o reparar las entradas de las aplicaciones web (por ejemplo, con protección frente a inyección SQL), y desactivar cualquier script CGI que recurra a la shell. También se recomienda cambiar de Bash (aunque prestando atención a que la nueva siga funcionando en las aplicaciones web que necesitemos). Aunque la solución más fiable es reparar la Bash o sustituirla por completo. Desde ayer los desarrolladores de algunas distribuciones Linux han estado parcheando todas las versiones de las Bash actuales, desde la 3.0 a la 4.3, aunque en éste momento sólo Debian y Red Hat tienen parches disponibles para descargar.
También hay que alertar de que OpenSSH también es vulnerable a través de la utilización de variables como AcceptEvn, TERM, y SSH-ORIGINAL_COMMAND, aunque para explotarlas el atacante debería estar en una sesión autentificada.
Se aconseja encarecidamente que aquellos administradores que trabajen con sistemas de servidor Linux o Unix parcheen lo antes posible su sistema. Se puede encontrar más información sobre el mismo en la lista abierta para la ocasión en Gnu.org.
| Redacción: Revista Ordenadores
No hay comentarios:
Publicar un comentario