Stephane
Chazelas ha descubierto una vulnerabilidad en el procesamiento de variables de
entorno en el interprete de comandos Bash, común en sistemas Linux. Esta
vulnerabilidad puede ser explotable de forma remota y podría permitir ejecución
de código. La vulnerbilidad se ha catalogado de Importancia: 5 - Crítica
Recursos afectados
- La vulnerabilidad afecta potencialmente a todos los sistemas que tengan Bash instalado. Se recomienda consultar las versiones afectadas para cada distribución.
- Los productos de Cisco afectados se pueden consultar en el aviso de la compañía.
- La vulnerabilidad descubierta podría ser utilizada para ejecución remota de código, debido a que es común uitlizar bash en background dentro de otros procesos. Esto se hace, por ejemplo, para el parseado de scripts CGI (utilizado por Apache, por ejemplo), o incluso ejecución de comandos (utilizado por git, entre otros).
- El problema viene debido a un incorrecto parseado de las variables de entorno, muchas veces utilizadas para controlar el comportamiento de scripts en Bash. Ya se han detectado escaneos en busca de este fallo, como indica la firma Volexity en la página http://www.volexity.com/blog/?p=19, donde se pueden ver peticiones GET capturado
- La vulnerabilidad ha recibido el identificador CVE-2014-6271. Por otra parte, también se ha asignado el identificador CVE-2014-7169 a una corrección incompleta de esta vulnerabilidad por parte de Red Hat.
- Actualización a 26/09/2014: Cisco ha publicado un aviso con sus productos afectados. http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash
Actualizar Bash a la versión recomendada por la
distribución o producto correspondiente. En concreto:
- Red Hat https://access.redhat.com/articles/1200223
- Debian https://www.debian.org/security/2014/dsa-3032
- Ubuntu http://www.ubuntu.com/usn/usn-2362-1/
- CentOS http://centosnow.blogspot.com.es/2014/09/critical-bash-updates-for-centos-5.html
- SUSE/Novell http://support.novell.com/security/cve/CVE-2014-6271.html
- Cisco http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash
- Bash specially-crafted environment variables code injection attack https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
- USN-2362-1: Bash vulnerability http://www.ubuntu.com/usn/usn-2362-1/
- DSA-3032-1 bash -- security update https://www.debian.org/security/2014/dsa-3032
- Critical Bash updates for CentOS-5, CentOS-6, and CentOS-7 http://centosnow.blogspot.com.es/2014/09/critical-bash-updates-for-centos-5.html
- Suse/Novell: CVE-2014-6271 http://support.novell.com/security/cve/CVE-2014-6271.html
- Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) https://access.redhat.com/articles/1200223
- GNU Bash Environmental Variable Command Injection Vulnerabilityhttp://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash