Por cierto, necesitas una cerradura más resistente, la nueva se ha roto de un sólo empujón – Rorschach [Watchmen]

El pasado miércoles se descubrió una vulnerabilidad en el intérprete de comandos más utilizado en la mayoría de los sistemas Linux, bash, la vulnerabilidad surge del hecho de que se pueden crear variables de entorno con valores especialmente diseñados antes de llamar a la shell bash. Estas variables pueden contener código que es ejecutado tan pronto como se invoca el shell. El nombre de estas variables no importa, sólo sus contenidos.

Al día de hoy, varios sitios han publicado guías y análisis de esta vulnerabilidad:

• What is the Shellshock Bash bug and why does it matter? – engadget
• Everything you need to know about the Shellshock Bash bug – troyhunt.com
• How to Protect your Server Against the Shellshock Bash Vulnerability – DigitalOcean

La forma más simple de saber si alguno de nuestros equipos es vulnerable, es ejecutando:

[root@hobbiton ~]# env x='() { :;}; echo OOPS' bash -c /bin/true

Si el comando nos devuelve la cadena OOPS, significa que nuestro equipo es vulnerable y tenemos que actualizar.

Diferentes sitios de varias distribuciones han publicado la actualización correspondiente a esta vulnerabilidad:

• Debian
• Ubuntu
• CentOS
• Fedora [Update]
• Red Hat
• SUSE

Incluso los sistemas OS X también son vulnerables, aquí la guía para aplicar el patch. Update: Aquí las ligas de descarga del patch, según su OS X:

• Mavericks
• Mountain Lion
• Lion

Es muy importante actualizar el paquete porque ya han utilizado la vulnerabilidad para realizar ataques:

• First Shellshock botnet attacks Akamai, US DoD networks

Espero les sirva…