Muchos dicen que el nuevo bug que puede ser utilizado para invadir máquinas unix, linux y mac es aún peor que el famoso heartbleed. El motivo es obvio: Heartbleed permite capturar la información existente en un servidor (com ocontraseñas, por ejemplo), mientras que el nuevo Shellshock Bash permite inyectar código malicioso y hacerse con el control de los equipos.
Este agujero de seguridad afecta a la plataforma Bash de ejecución de comandos. Permite ejecutar aplicaciones, modificar la configuración y ver datos, aunque es fácil saber si nuestra máquina es vulnerable o no.
Comentan en lifehacker y zdnet que solo hay copiar y pegar este código:
env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’
Una vez hecho esto, podremos obtener un mensaje como «vulnerable hello«, indicando que estamos en peligro, o algo como:
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ hello
que aparecerá si estamos protegidos.
Si al verificar la versión del bash (bash –version) vemos que tenemos la 3.2.51, habrá que actualizarla.
Para linux, podéis seguir estos pasos, para Mac no hay parche oficial, pero podéis seguir estas instrucciones (aunque desde Apple comentan que la mayoría de los usuarios están protegidos).
También podéis usar shellshocker.net para verificar si la amenaza os afecta.