Una nueva vulnerabilidad se ha descubierto y registrado en el lenguaje Bash de los sistemas Unix, incluidos tanto los sistemas
Linux como Mac OS X. Este fallo permite ejecutar comandos de forma remota
debido al fallo en el proceso de variables de entorno si se explota
correctamente la vulnerabilidad.
Como cualquier otro lenguaje de programación,
Bash permite declarar variables para trabajar con él, sin embargo dichas
variables no son validadas correctamente pudiendo declararse mal y permitiendo
así la ejecución de contenido que no debería hacerlo en los sistemas
vulnerables.
Los principales servicios afectados por esta
vulnerabilidad son:
- Páginas web con CGIs fácilmente localizables desde Google.
- Ejecución de comandos de forma remota a través de SSH.
- Otros CGIs como PHP o Perl, entre otros.
- Clientes DHCP con shells.
- Sistemas que hagan uso del shell para determinadas funciones.
- Sistemas operativos móviles que ejecuten scripts de Bash como Android.
- Más dispositivos que utilizan Linux en segundo plano como televisores, routers, etc.
Fuente: SecurityByDefault