Hace pocas entradas en este blog nos referíamos a los problemas de seguridad de DSM de Synology y nos alegra constatar que esta vez han reaccionado rápido al Shellshock.
Qué es el Shellshock: La pasada semana se hicieron públicas ciertas vulnerabilidades CVE-2014-6271 y CVE-2014-7169 del intérprete de comandos bash -que tienen casi todos los dispositivos unix/linux- y sus derivados. Esta vulnerabilidad, lleva ahí más años que la del HeartBleed del SSL (unos 22 años) y es realmente mucho más grave.
Si deseas leer más en detalle al respecto te recomendamos el artículo publicado en Tek’nLife dónde se explica con todo lujo de detalles en qué consiste y por qué es tan grave. Pero básicamente, se puede resumir en que desde hace 22 años existe una «puerta trasera» en la mayoría de los servidores unix/linux usados a nivel mundial.
La buena noticia es que la mayoría de los fabricantes, incluidos Sophos y Synology se lo han tomado en serio y han sacado fixes (arreglos) muy rápido. Aparte de fabricantes como Apple, con OSX que ya ha sacado el fix, las propias distribuciones Linux que enseguida suelen tener el update, luego llegan los derivados o productos basados en Linux, como DSM de Synology, o como Sophos UTM que tienen que hacer lo propio.
- Todas las distribuciones de Linux: RedHat, CentOS, Debian, Ubuntu, etc. tienen el fix disponible desde hace ya unos días. Basta con el comando pertinente según la distribución para descargar y aplicar el parche.
- Synology acaba de lanzar el Version: 5.0-4493 Update 7 que contiene el fix del problema
- Apple OSX – Ya está disponible un fix que hay que descargar y aplicar manualmente. Por ahora no viene en las actualizaciones del App Store. Puedes descargarlo a partir del siguiente enlace: http://support.apple.com/kb/DL1769?viewlocale=es_ES
- Sophos ha anunciado oficialmente que no ha detectado que sus productos estén directamente afectados pero aún así, sacará un fix también en los próximos días.
Si quieres detectar si tu shell bash es vulnerable o no aquí tienes un pequeño comando que puedes ejecutar y él mismo te dará el resultado:
[pastacode lang=»bash» message=»Test de Vulnerabilidad ShellShock de bash» highlight=»» provider=»manual»]
env 'VAR=() { :;}; echo ¡Bash es vulnerable!' 'FUNCTION()=() { :;}; echo ¡Bash es vulnerable!' bash -c "echo Test del Bash"[/pastacode]
