OVH Community, your new community space.

Shellshock


alvaroag
29/09/2014, 20:24
Si no me equivoco, son 4 bugs que parten del mismo error, ejecutar el contenido de una variable para que la función que contiene sea considerada en el entorno. Sin embargo, se supone que la última versión de bash tiene los 4 corregidos, además de algún otro error que derive de la misma técnica del ataque.

oceano
28/09/2014, 13:39
Hola, buenos días.

Dejo algunas direcciones por si alguien quiere investigar sobre lo que tiene o no...

CVSS Severity: 10.0 HIGH

Description:

GNU Bash through 4.3 bash43-025 processes trailing strings after certain malformed function definitions in the values of environment variables, which allows remote attackers to write to files or possibly have unknown other impact via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-6271.
http://cve.mitre.org/cgi-bin/cvename...=CVE-2014-7169

National Vulnerability Database (EEUU)
http://web.nvd.nist.gov/view/vuln/de...=CVE-2014-7169

# rpm -qi bash

# env x='() { :;}; echo vulnerable' bash -c echo


**************** EXISTE UN SEGUNDO BUG POR PARCHEAR **********************

# env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear"

podría aclararme esta información alguien ?

************************************************** **********************************
CentOS Bug Tracker
http://bugs.centos.org/my_view_page.php


ACTUALIZADO !!!
http://www.linuxquestions.org/questi.../page4.html#58

$ env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable"
echo vuln
cat: echo: No such file or directory





Saludos cordiales, buen día a tod@s !!!

lobosnake
28/09/2014, 13:18
Cita Publicado inicialmente por alvaroag
Tienes que ver que distribución de Linux utilizas; CPanel es sólamente una aplicación más.

Primero, verifica si tienes una versión vulnerable. Ejecuta:



Si te sale el texto "Bash is vulnerable!", debes actualizar. Si te sale algún error, tu versión de Bash ya está parchada.

Para instalar una versión parchada, debes ejecutar los comandos necesarios según que distribución de Linux utilices:

Debian / Ubuntu, y cualquier otra basada en Aptitude:


RHEL, CentOS, Fedora, y cualquier otra basada en YUM:


Gentoo:


Después de actualizar, es buena idea probar nuevamente.

muchas gracias me sirvio de mucho ya que me salia Bash is vulnerable.


saludos.

sdzzds
28/09/2014, 11:34
Hola, me sale parcheado. Cpanel incluye en sus actualizaciones las del sistema operativo también. En este caso Centos. Gracias.

alvaroag
28/09/2014, 02:32
Cita Publicado inicialmente por sdzzds
He corrido el comando de prueba a la vulnerabilidad en un par de servers y me aparecen parcheados. Los 2 son con cpanel con actualizaciones de seguridad automáticas. ¿alguien que confirme esto, si cpanel ya por lo menos ha puesto el parche temporal? Gracias
Tienes que ver que distribución de Linux utilizas; CPanel es sólamente una aplicación más.

Primero, verifica si tienes una versión vulnerable. Ejecuta:

env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
Si te sale el texto "Bash is vulnerable!", debes actualizar. Si te sale algún error, tu versión de Bash ya está parchada.

Para instalar una versión parchada, debes ejecutar los comandos necesarios según que distribución de Linux utilices:

Debian / Ubuntu, y cualquier otra basada en Aptitude:
sudo apt-get update && sudo apt-get install --only-upgrade bash
RHEL, CentOS, Fedora, y cualquier otra basada en YUM:
sudo yum update bash
Gentoo:
emerge --sync --quiet && emerge -vu --quiet-build bash
Después de actualizar, es buena idea probar nuevamente.

sdzzds
26/09/2014, 22:40
He corrido el comando de prueba a la vulnerabilidad en un par de servers y me aparecen parcheados. Los 2 son con cpanel con actualizaciones de seguridad automáticas. ¿alguien que confirme esto, si cpanel ya por lo menos ha puesto el parche temporal? Gracias

davidlig
26/09/2014, 13:47
Gracias por el aviso

Javix
25/09/2014, 20:59
Hola,
he encontrado esto, bastante completo:
http://www.linuxquestions.org/questi....php?p=5244204

He hecho un script para actualizar los debian 6, los debian 7 está en mainstream (apt-get update && apt-get install bash).
https://github.com/cheiff/shellshock-patch

Espero que le sirva a alguien más.
Saludos

Javix
25/09/2014, 20:26
Hola,

¿qué medidas estáis tomando contra el shellshock? Me llama la atención que no haya nada en el foro aún.
Parece varios órdenes de magnitud más gordo que el Heartbleed.

Un par de enlaces para quién no sepa de qué estoy hablando
http://www.troyhunt.com/2014/09/ever...now-about.html
https://es-us.finanzas.yahoo.com/not...235300902.html
http://www.genbeta.com/seguridad/com...-todo-internet

Aparte de actualizar los servidores CentOS que tengo y ya tienen patch, no sé qué hacer aún con los debian.
El patch para Red Hat/CentOS, actualizar a la versión de bash que indican aquí:
https://access.redhat.com/solutions/1207723
Voy a ver si encuentro algo para debian.

Saludos