Leo comentarios que el parche entregado no seria 100% preciso para detener esta vulnerabilidad y que dentro de pocos deberemos nuevamente actualizar a la brevedad.
Ejemplo: env X='() { (a)=>\' sh -c "echo date" cat echo https://access.redhat.com/articles/1200223 El 25 de septiembre de 2014, 12:28, César Martinez < cmarti...@servicomecuador.com> escribió: > Gracias por el dato Epe > > -- > Saludos Cordiales > > |César Martínez | Ingeniero de Sistemas | SERVICOM > |Tel: (593-2)554-271 2221-386 | Ext 4501 > |Celular: 0999374317 |Skype servicomecuador > |Web www.servicomecuador.com Síguenos en: > |Twitter: @servicomecuador |Facebook: servicomec > |Zona Clientes: www.servicomecuador.com/billing > |Blog: http://servicomecuador.com/blog > |Dir. Av. 10 de Agosto N29-140 Entre > |Acuña y Cuero y Caicedo > |Quito - Ecuador - Sudamérica > > > On 24/09/14 23:02, Ernesto Pérez Estévez wrote: > >> -----BEGIN PGP SIGNED MESSAGE----- >> Hash: SHA256 >> >> hola >> El día de hoy fue hecho público un anuncio de que el popular shell >> bash contiene una falla de seguridad que permite a atacantes remotos >> ejecutar código arbitrario en un sistema. >> >> bash no solamente se utiliza de forma local, sino por poner dos >> ejemplos: a través de ssh y para ejecutar aplicaciones web a través de >> cgi. >> >> Se puede verificar si su paquete bash presenta esta vulnerabilidad con >> la ejecución de la siguiente prueba: >> >> env x='() { :;}; echo vulnerable' bash -c "echo this is a test" >> >> si al ejecutar el anterior código se imprimen las líneas >> "vulnerable >> this is a test" >> El sistema es vulnerable y debe ser actualizado. >> >> Si se imprime un mensaje de error parecido a este: >> "bash: warning: x: ignoring function definition attempt >> bash: error importing function definition for `x' >> this is a test" >> >> El sistema NO debe ser vulnerable. >> >> Es imperioso se actualicen todos los sistemas operativos Linux y Mac >> que son los que más uso hacen de bash. >> >> al momento ubuntu, debian, RHEL y CentOS han publicado actualizaciones >> de sus paquetes de bash. En el caso de CentOS o RHEL debe ejecutarse: >> >> yum update bash (o podría usarse yum update para actualizar todos los >> paquetes que requieran ser actualizados). >> >> En el caso de ubuntu y debian podría utilizarse: >> apt-get update; apt-get upgrade >> >> Más información en >> https://securityblog.redhat.com/2014/09/24/bash-specially- >> crafted-environment-variables-code-injection-attack/ >> >> saludos >> Ernesto Pérez >> CSIRT-CEDIA >> -----BEGIN PGP SIGNATURE----- >> Version: GnuPG v1 >> >> iQIcBAEBCAAGBQJUI5PfAAoJEI8SQ0eoZD/XZusP/304wDY3sZTPsaBueivokUkz >> VrltUTWM8aMzX91Uh5RKjzzBQEucPb2sJELNVfilRUknM3vpTtxCUSvejVn4k8k7 >> KO6B0LNd0hxhVSOpS4gb5j5gUkjPDDQFB5DVSG1940pFvDkSQPUIWvUFOyjPW9gm >> sSnYN5cypfKZ2bsMsRJDC4syUplO6P2dhwntHH8K50p2sDMrFjqYCFtTVS7CsHGO >> OFSw1TduMXxcqDkXW83i+BRa6FMhy3VqyZUJxZs6yfHb84ViL33EqtohMsBTE4Tk >> bj63B1ykDduF5nJ5giKYe4+J03I+BQI0YEqvPPyK1cvbsxNt9p849RnqefpX0UHP >> 6PqIj8DWr8YBj3cZpzH4E2wWTOjMjILBhTGg3spZwqh6XuUH5FNojRJ5VMH8p1xI >> 5E0mJoRr0CR/OuiCcxbHq4hMWZhwHjsPQ3+NnYsQfIj4IIU6C8sNIQa/gxZ8x4Tx >> YuaTy9CKzAsuy82PXT0ec02TKYZ8/zk25//9CY+7RrdBMjlGvDiv0qExGf6x6buF >> KtcPrAVge9bk0lNBjBnom8kOgqlU/9SF7RH8QoiEK9PqDUfh9lq7gPWGEwx5yxZW >> JxSluLODHu0QkkfbXawgZ+2t+vlkaYHfWgX191dN7kW6pVMl7Pr6Is91r/Rfjesq >> z28D4VrjYykcmDdeZUSz >> =0kuj >> -----END PGP SIGNATURE----- >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> >> > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- Carlos Francisco Tirado Elgueta Google Apps for Business Partner Chile http://www.chilemedios.cl _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es