jueves, 25 de septiembre de 2014

Un nuevo error de software representaría una amenaza mayor que Heartbleed

GNUBash es un software que se utiliza para controlar la línea de comandos en muchos ordenadores de Linux


El ingeniero Stéphane Chazelas ha descubierto una importante vulnerabilidad en el shell GNU Bash que permite ejecutar código de forma remota. Este programa es el intérprete de comandos por defecto en múltiples distribuciones de Linux y en otros sistemas Unix, incluyendo a OS X de Apple
El investigador de seguridad Robert Graham ha asegurado que el bug es una "amenaza tan grande como Heartbleed" debido a la extensión, antigüedad y características del problema. 
El error Heartbleed, que surgió en abril de este año, permitió a los 'hackers' espiar los ordenadores pero no controlarlos, comenta Dan Guido, el director ejecutivo de la firma de seguridad cibernética Trail of Bits. "El método de explotación de esta cuestión también es mucho más simple", explica el especialista. "Usted puede simplemente cortar y pegar una línea de código y obtener buenos resultados".
De forma similar a la vulnerabilidad de OpenSSL, restaurar la seguridad de Bash requiere parchear una gran cantidad de aparatos, entre los que se incluyen dispositivos IoT (Internet of Things) como videocámaras.
"Un enorme porcentaje del software interactúa con el shell de alguna forma", escribe Graham en su blog. "Por lo tanto, nunca seremos capaces de catalogar todo el software que hay por ahí vulnerable al bug de Bash. […] El número de sistemas que se deben parchear, y que no lo harán, es mucho más grande que con Heartbleed".
Por el momento, las populares distros Red Hat, Fedora, Ubuntu y Debian ya han publicado sendos parches para evitar el llamado "Bug Bash" o "Shellshock". Mientras tanto, Apple todavía no ha afrontado la vulnerabilidad en OS X, aunque ha lanzado recientemente una actualización para las "herramientas de línea de comandos".
El blog de seguridad de Red Hat ha confeccionado un pequeño test para comprobar si un sistema es vulnerable. Para realizar la prueba tan solo es necesario abrir una línea de comandos y escribir el siguiente código:

env x='() { :;}; echo vulnerable' bash -c "echo esto es un test"


Si el sistema es vulnerable indicara lo siguiente:

vulnerable
esto es un test

De lo contrario indicara lo descrito a continuación

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
esto es un test







Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
 

Asociaciones