Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-10-01 Thread Hugo Florentino 

On Wed, 01 Oct 2014 11:52:59 -0500, Ing. Armando Ramos Roche wrote:

q significa? no soy vulnerable?
la version del dash no me la se. y no se como saberla tampoco.


Significa que dash no parece ser vulnerable a shellshock, pero para 
usarlo por defecto tienes que cambiar /bin/sh para que apunte a 
/bin/dash y cambiar el hashbang de tus scripts de /bin/bash a /bin/sh 
(recomendado) o /bin/dash


De todas formas actualizar bash es recomendable porque no pocas 
aplicaciones lo usan.


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-10-01 Thread Ing. Armando Ramos Roche 
bueno compa;eros, tengo el ubuntu server 12.04.2 con la version de bash 
4.2.24

y eso es lo que me sale:
root@mail:~# dash
# env x='() { :;}; echo vulnerable' dash -c "echo this is a test"
this is a test
# exit
root@mail:~# env x='() { :;}; echo vulnerable' dash -c "echo this is a test"
this is a test
root@mail:~#
q significa? no soy vulnerable?
la version del dash no me la se. y no se como saberla tampoco.
Saludos

--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

 próxima parte 
A non-text attachment was scrubbed...
Name: informatico.vcf
Type: text/x-vcard
Size: 335 bytes
Desc: no disponible
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-30 Thread Pablo M. Drake 

El 30/09/14 17:03, låzaro escribió:

JODER Servicio! Verdad que si, no me fijé que dice bash -c :D

a ver

lazaro@leviatan:~$ dash
$ env x='() { :;}; echo vulnerable' dash -c "echo this is a test"
this is a test


GENIAL


Sigo confiando en debian :D
Genial esto jejeje si la solucion mas facil es cambiar de shell y ya 
ta'.




--
Grupo de Usuarios de Tecnologías Libres - Cuba
http://gutl.jovenclub.cu/


--
Nunca digas nunca, di mejor: gracias, permiso, disculpe.

Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-30 Thread låzaro 
perdón, ServiLio, mala mía

Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 2 
Date: Tue, Sep 30, 2014 
In reply to: Lázaro Armando 
>
> JODER Servicio! Verdad que si, no me fijé que dice bash -c :D
> 
> a ver
> 
> lazaro@leviatan:~$ dash
> $ env x='() { :;}; echo vulnerable' dash -c "echo this is a test"
> this is a test
> 
> 
> GENIAL!!!!
> 
> 
> Sigo confiando en debian :D
> 
> 
> 
> Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
> ataquen a través de una bombilla" 
> Mail number: 1 
> Date: Tue, Sep 30, 2014 
> In reply to: Servilio Afre Puentes 
> >
> > On Mon, Sep 29 2014, låzaro wrote:
> > 
> > > súmate al club, desde que debian lo puso como shell por defecto me
> > > imaginé que sería por algún buen motivo, pero caete pa atra, 
> > >
> > >dash es vulnerable también!!
> > 
> > No.
> > 
> > > lazaro@leviatan:~$ dash 
> > > $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
> > > vulnerable
> > > this is a test
> > 
> > Fíjate bien, estás ejecutando bash, no importa desde donde lo
> > ejecutes. De echo esa es la razón por la q esta funcionalidad se
> > convierte en un problema de seguridad, ej.: cuando bash se ejecuta desde
> > OpenSSH.
> > 
> > Servilio
> > 
> > -- 
> > Este mensaje ha sido analizado por MailScanner
> > en busca de virus y otros contenidos peligrosos,
> > y se considera que est? limpio.
> > 
> 
> > __
> > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> > Gutl-l@jovenclub.cu
> > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
> 
> 
> -- 
>  Warning! 
> 100'000 pelos de escoba fueron
> introducidos satisfactoriamente
> en su puerto USB.
> 
> 
> 
> 
> 
> 
> -- 
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que est? limpio.
> 

> __
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l


-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-30 Thread Ernesto Acosta 

On 30/09/14 13:03, låzaro wrote:

$ env x='() { :;}; echo vulnerable' dash -c "echo this is a test"

En Debian Testing se obtiene el mismo resultado ;)
 próxima parte 
Se ha borrado un adjunto en formato HTML...
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

XII Edicion del Evento Nacional de Informatica para Jovenes. INFOCLUB.
Abril. 2015. Ver www.jovenclub.cu



--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-30 Thread låzaro 
JODER Servicio! Verdad que si, no me fijé que dice bash -c :D

a ver

lazaro@leviatan:~$ dash
$ env x='() { :;}; echo vulnerable' dash -c "echo this is a test"
this is a test


GENIAL


Sigo confiando en debian :D



Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 1 
Date: Tue, Sep 30, 2014 
In reply to: Servilio Afre Puentes 
>
> On Mon, Sep 29 2014, låzaro wrote:
> 
> > súmate al club, desde que debian lo puso como shell por defecto me
> > imaginé que sería por algún buen motivo, pero caete pa atra, 
> >
> >dash es vulnerable también!!
> 
> No.
> 
> > lazaro@leviatan:~$ dash 
> > $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
> > vulnerable
> > this is a test
> 
> Fíjate bien, estás ejecutando bash, no importa desde donde lo
> ejecutes. De echo esa es la razón por la q esta funcionalidad se
> convierte en un problema de seguridad, ej.: cuando bash se ejecuta desde
> OpenSSH.
> 
> Servilio
> 
> -- 
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que est? limpio.
> 

> __
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l


-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-30 Thread Servilio Afre Puentes 
On Mon, Sep 29 2014, låzaro wrote:

> súmate al club, desde que debian lo puso como shell por defecto me
> imaginé que sería por algún buen motivo, pero caete pa atra, 
>
>dash es vulnerable también!!

No.

> lazaro@leviatan:~$ dash 
> $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
> vulnerable
> this is a test

Fíjate bien, estás ejecutando bash, no importa desde donde lo
ejecutes. De echo esa es la razón por la q esta funcionalidad se
convierte en un problema de seguridad, ej.: cuando bash se ejecuta desde
OpenSSH.

Servilio

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-30 Thread Hugo Florentino 

On Tue, 30 Sep 2014 08:05:31 -0400, Hugo Florentino wrote:

On Mon, 29 Sep 2014 07:54:07 -0400, låzaro wrote:

súmate al club, desde que debian lo puso como shell por defecto me
imaginé que sería por algún buen motivo, pero caete pa atra,

   dash es vulnerable también!!

lazaro@leviatan:~$ dash
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test



Pues a mi no me sucede eso en un sistema con Squeeze, donde no he
actualizado dash (aunque si bash):

sysadmin@squeeze:~$ dash
$ env x='() { :;}; echo vulnerable' dash -c "test"
$

Nota que para mayor consistencia reemplacé bash por dash también en
la comprobación.



Perdón, cometí una pifia, aunque el resultado es similar: las versiones 
relativamente recientes de dash no parecen ser vulnerables.


sysadmin@squeeze:~$ dash
$ env x='() { :;}; echo vulnerable' dash -c "echo test"
test
$

--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-30 Thread Hugo Florentino 

On Mon, 29 Sep 2014 07:54:07 -0400, låzaro wrote:

súmate al club, desde que debian lo puso como shell por defecto me
imaginé que sería por algún buen motivo, pero caete pa atra,

   dash es vulnerable también!!

lazaro@leviatan:~$ dash
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test



Pues a mi no me sucede eso en un sistema con Squeeze, donde no he 
actualizado dash (aunque si bash):


sysadmin@squeeze:~$ dash
$ env x='() { :;}; echo vulnerable' dash -c "test"
$

Nota que para mayor consistencia reemplacé bash por dash también en la 
comprobación.


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-29 Thread låzaro 
solución

curl https://shellshocker.net/fixbash | sh



Lázaro Armando cogió un teclado y escribió: 
>
> allá el que tenga algo escuchando en ip públicas, sitios web y toda
> esas cosas...
> 
> por cierto
> 
> https://access.redhat.com/articles/1200223
> 
> 
> postfix es seguro ;)
> 
> The Postfix server will replace various characters with a ?. While the
> Postfix server does call Bash in a variety of ways, we do not believe
> an arbitrary environment variable can be set by the server. It is
> however possible that a filter could set environment variables.
> 
> 
> 
> allá los que le pongan gangarreas
> 
> xD
> 
> 
> 
> Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
> ataquen a través de una bombilla" 
> Mail number: 13 
> Date: Fri, Sep 26, 2014 
> In reply to: Paradix ;) 
> >
> > El 26/09/14 16:44, Maykel Moya escribió:
> > > On 2014-09-26 22:03, Paradix ;) wrote:
> > > 
> > > Hola Rainer
> > > 
> > >> escrito patetico ... la falla se llama shellshock y afecta bash, zsh y
> > >> csh, no tengo referencias q afecte a ksh  cada vez q se anuncia una
> > >> vulnerabilidad parece q se acaba el mundo, estos americanos son
> > >> especialistas en generar terror
> > > 
> > > La noticia es sensacionalista pero no creo que tenga que ver mucho con
> > > que sean americanos. ¿Qué vas a esperar de cnnenespanol, que es un medio
> > > de masas? Podrías decir lo mismo de RT, que es ruso o del equivalente
> > > chino (que no tengo idea de cómo se llama). Su función es hacer noticias
> > > atractivas para que no te aburras visitando su sitio :)
> > > 
> > > El bug es grave. Se considera 10/10 en la escala de "cuán crítico es un
> > > bug".
> > > 
> > > Hay gusanos propagándose. Mira
> > > https://gist.github.com/anonymous/929d622f3b36b00c0be1
> > > 
> > > Acabo de ver que ya hay sitio "oficial": https://shellshocker.net/
> > > 
> > > Saludos,
> > > maykel
> > > 
> > 
> > en lo particular ... depende de cuan inocente pueda ser tu esquema de
> > permisos, sino hago cgi mediante bash de que otra manera pudiera afectar
> > mis servidores? (no tengo ninguno ahora pero por si acaso :D)
> > 
> > 
> > 
> > -- 
> > Paradix  ;)
> > 
> > Haciendo abogacía por el software libre adonde voy
> > 
> > --
> > Nunca digas nunca, di mejor: gracias, permiso, disculpe.
> > 
> > Este mensaje le ha llegado mediante el servicio de correo electronico que 
> > ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
> > Nacional de Salud. La persona que envia este correo asume el compromiso de 
> > usar el servicio a tales fines y cumplir con las regulaciones establecidas
> > 
> > Infomed: http://www.sld.cu/
> > 
> > 
> > -- 
> > Este mensaje ha sido analizado por MailScanner
> > en busca de virus y otros contenidos peligrosos,
> > y se considera que está limpio.
> > 
> > __
> > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> > Gutl-l@jovenclub.cu
> > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
> 
> -- 
>  Warning! 
> 100'000 pelos de escoba fueron
> introducidos satisfactoriamente
> en su puerto USB.
> 
> 
> 
> 
> 

-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-29 Thread Arian Molina Aguilera 

El 29/09/14 a las #4, Carlos R Laguna escribió:

El 28/09/14 a las #4, Hugo Florentino escribió:

On Sat, 27 Sep 2014 22:54:26 +, Pablo M. Drake wrote:

El 26/09/14 20:15, låzaro escribió:

dice un paranóico que hasta esta prueba, corre:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


http://www.linuxquestions.org/questions/linux-security-4/bash-shellshock-cve-2014-6271-cve-2014-7169-rated-10-a-4175519975/ 



mestre@socka:~$ env x='() { :;}; echo vulnerable' bash -c "echo this 
is a test"

vulnerable
this is a test


Pues yo no me quedaría tan tranquilo. Si mal no recuerdo, conservabas 
aun servicios en sistemas con Debian Squeeze. Sorprendentemente, los 
repositorios principales para Debian Squeeze no incluyen aun los 
parches que sin embargo Ubuntu si ha hecho disponibles incluso para 
10.04


Los que aun tienen servidores con Squeeze, pueden hacer esto:

echo "deb http://http.debian.net/debian squeeze-lts main contrib 
non-free" >> /etc/apt/sources.list

aptitude update
aptitude install bash

Esto debería eliminar al menos parte de las vulnerabilidades (creo 
que aun se esta trabajando en una solución completa, pues hay 
diferentes vulnerabilidades relacionadas con shellshock)




__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Tengo entendido que squeeze no tiene soporte del equipo oficial de 
debian sino de terceros por ello el cambio en el source.lsit. Saludos




No squeeze esta declarado un LTS por el equipo oficial de debian. salu2.


--
Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Linux Usuario Registrado #392892
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Nodo Central ARTex S.A. La Habana. Cuba.


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-29 Thread låzaro 
súmate al club, desde que debian lo puso como shell por defecto me
imaginé que sería por algún buen motivo, pero caete pa atra, 

   dash es vulnerable también!!

lazaro@leviatan:~$ dash 
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test


Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 21 
Date: Sat, Sep 27, 2014 
In reply to: Hugo Florentino 
>
> On Fri, 26 Sep 2014 22:56:49 -0400, Dariem Pérez Herrera wrote:
> >El problema es que hay muchos dispositivos embebidos con interfaces
> >de administración web que por detrás lo que corren son cgi que
> >invocan
> >comandos, lo he visto en routers y APs para wifi. No creo que estén
> >"apretando" tanto, mejor no confiarse.
> 
> Yo desde hace unos años tengo la práctica de usar dash en lugar de
> bash, y en mis scripts suelo usar como hashbang /bin/sh (a su vez un
> enlace a /bin/dash) en lugar de /bin/bash
> Es cierto que con esto solo tengo acceso a un subset de la
> funcionalidad de bash, pero suele ser un subset suficientemente
> funcional, mas seguro, y también más portable a otros shells.
> 
> -- 
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que est? limpio.
> 

> __
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l


-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-29 Thread Servilio Afre Puentes 
On Fri, Sep 26 2014, Paradix ;) wrote:

> El 26/09/14 15:58, Hugo Florentino escribió:
>> On Fri, 26 Sep 2014 15:49:14 -0400, låzaro wrote:
>>> No se ha ustedes pero esto me suena a panplina tremendistamente
>>> exagerada:
>>>
>>> La falla "bash" podría permitir que los hackers ataquen a través de
>>> una bombilla
>> 
>> Si bien tremendista, no tiene por que ser una exageración, si hay
>> alguien suficientemente geek que use internet para todos los
>> electrodomésticos de su casa, incluyendo bombillas inteligentes que usen
>> bash... el mundo está lleno de gente de todos los tipos, jeje.
>> 
>> Esto me recuerda el chiste de Raulito que había instalado linux en la
>> tostadora, lo que y la interfaz de entrada eran los botones de encendido
>> y expulsado, por lo que habia que teclear los comandos para tostar pan
>> en binario
>> 
>
> acaso el bash q pueda estar un linux embebido tendrá todas las
> funcionalidades del mismo q esta en cualquier distribución?

Podría ser, pero si te vas a poner a quitarle cosas sales mejor
simplemente usando busybox, dash, o cualquier otro «shell» ligero.

Servilio

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-29 Thread Carlos R Laguna 

El 28/09/14 a las #4, Hugo Florentino escribió:

On Sat, 27 Sep 2014 22:54:26 +, Pablo M. Drake wrote:

El 26/09/14 20:15, låzaro escribió:

dice un paranóico que hasta esta prueba, corre:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


http://www.linuxquestions.org/questions/linux-security-4/bash-shellshock-cve-2014-6271-cve-2014-7169-rated-10-a-4175519975/ 



mestre@socka:~$ env x='() { :;}; echo vulnerable' bash -c "echo this 
is a test"

vulnerable
this is a test


Pues yo no me quedaría tan tranquilo. Si mal no recuerdo, conservabas 
aun servicios en sistemas con Debian Squeeze. Sorprendentemente, los 
repositorios principales para Debian Squeeze no incluyen aun los 
parches que sin embargo Ubuntu si ha hecho disponibles incluso para 10.04


Los que aun tienen servidores con Squeeze, pueden hacer esto:

echo "deb http://http.debian.net/debian squeeze-lts main contrib 
non-free" >> /etc/apt/sources.list

aptitude update
aptitude install bash

Esto debería eliminar al menos parte de las vulnerabilidades (creo que 
aun se esta trabajando en una solución completa, pues hay diferentes 
vulnerabilidades relacionadas con shellshock)




__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Tengo entendido que squeeze no tiene soporte del equipo oficial de 
debian sino de terceros por ello el cambio en el source.lsit. Saludos


Carlos R Laguna
NDC REDTINO
 próxima parte 
Se ha borrado un adjunto en formato HTML...
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

XII Edicion del Evento Nacional de Informatica para Jovenes. INFOCLUB.
Abril. 2015. Ver www.jovenclub.cu



--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-29 Thread Hugo Florentino 

On Sat, 27 Sep 2014 22:54:26 +, Pablo M. Drake wrote:

El 26/09/14 20:15, låzaro escribió:

dice un paranóico que hasta esta prueba, corre:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


http://www.linuxquestions.org/questions/linux-security-4/bash-shellshock-cve-2014-6271-cve-2014-7169-rated-10-a-4175519975/


mestre@socka:~$ env x='() { :;}; echo vulnerable' bash -c "echo this 
is a test"

vulnerable
this is a test


Pues yo no me quedaría tan tranquilo. Si mal no recuerdo, conservabas 
aun servicios en sistemas con Debian Squeeze. Sorprendentemente, los 
repositorios principales para Debian Squeeze no incluyen aun los parches 
que sin embargo Ubuntu si ha hecho disponibles incluso para 10.04


Los que aun tienen servidores con Squeeze, pueden hacer esto:

echo "deb http://http.debian.net/debian squeeze-lts main contrib 
non-free" >> /etc/apt/sources.list

aptitude update
aptitude install bash

Esto debería eliminar al menos parte de las vulnerabilidades (creo que 
aun se esta trabajando en una solución completa, pues hay diferentes 
vulnerabilidades relacionadas con shellshock)


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-27 Thread Pablo M. Drake 

El 26/09/14 20:15, låzaro escribió:

dice un paranóico que hasta esta prueba, corre:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


http://www.linuxquestions.org/questions/linux-security-4/bash-shellshock-cve-2014-6271-cve-2014-7169-rated-10-a-4175519975/
mestre@socka:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is 
a test"

vulnerable
this is a test
mestre@socka:~$
\

No tan paranoico.

--
Grupo de Usuarios de Tecnologías Libres - Cuba
http://gutl.jovenclub.cu/


--
Nunca digas nunca, di mejor: gracias, permiso, disculpe.

Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-27 Thread Carlos R Laguna 

El 27/09/14 a las #4, Hugo Florentino escribió:

On Fri, 26 Sep 2014 22:56:49 -0400, Dariem Pérez Herrera wrote:

El problema es que hay muchos dispositivos embebidos con interfaces
de administración web que por detrás lo que corren son cgi que invocan
comandos, lo he visto en routers y APs para wifi. No creo que estén
"apretando" tanto, mejor no confiarse.


Yo desde hace unos años tengo la práctica de usar dash en lugar de 
bash, y en mis scripts suelo usar como hashbang /bin/sh (a su vez un 
enlace a /bin/dash) en lugar de /bin/bash
Es cierto que con esto solo tengo acceso a un subset de la 
funcionalidad de bash, pero suele ser un subset suficientemente 
funcional, mas seguro, y también más portable a otros shells.




__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Solo para poner al tanto Canonica en la madrugada de hoy libero lo que 
seria el tercer update para este bug para ubuntu en sus ramas lts 10.04, 
12.04, 14.04

El paqute segun la verción:

Ubuntu 14.04 LTS:

   bash  4.3-7ubuntu1.4
    
Ubuntu 12.04 LTS:

   bash  4.2-2ubuntu2.5
    
Ubuntu 10.04 LTS:

   bash  4.1-2ubuntu3.4
    


Saludos
Carlos R Laguna
NDC REDTINO
 próxima parte 
Se ha borrado un adjunto en formato HTML...
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

XII Edicion del Evento Nacional de Informatica para Jovenes. INFOCLUB.
Abril. 2015. Ver www.jovenclub.cu



--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-27 Thread Hugo Florentino 

On Fri, 26 Sep 2014 22:56:49 -0400, Dariem Pérez Herrera wrote:

El problema es que hay muchos dispositivos embebidos con interfaces
de administración web que por detrás lo que corren son cgi que 
invocan

comandos, lo he visto en routers y APs para wifi. No creo que estén
"apretando" tanto, mejor no confiarse.


Yo desde hace unos años tengo la práctica de usar dash en lugar de 
bash, y en mis scripts suelo usar como hashbang /bin/sh (a su vez un 
enlace a /bin/dash) en lugar de /bin/bash
Es cierto que con esto solo tengo acceso a un subset de la 
funcionalidad de bash, pero suele ser un subset suficientemente 
funcional, mas seguro, y también más portable a otros shells.


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread Dariem Pérez Herrera 

El 26/09/14 a las #4, låzaro escribió:


Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a 
través de una bombilla"
Mail number: 14
Date: Fri, Sep 26, 2014
In reply to: Matthias Apitz

El día Friday, September 26, 2014 a las 04:23:26PM -0400, låzaro escribió:


caramba matias, para eso se necesita saltarse una pila de barreras
primero. Tal malvado que lograse ejecutar bash una vez, ejecutaría rm,
no esperaría a setearlo.

Esto sólo ha sido un ejemplo para mostrar cómo el problema funciona
exactamente. Muchas veces en scripts de CGI-BIN o en CUPS valores dados
son puestos en vars de ambiente (env var) y después un script es ejecutado,
y si esto es un lanzar de un bash... bingo.

matthias


--
Matthias Apitz   |  /"\   ASCII Ribbon Campaign:
E-mail: g...@unixarea.de |  \ /   - No HTML/RTF in E-mail
WWW: http://www.unixarea.de/ |   X- No proprietary attachments
phone: +49-170-4527211   |  / \   - Respect for open standards
  | en.wikipedia.org/wiki/ASCII_Ribbon_Campaign


ya eso parece una explicación más racional, CGI-BIN siempre ha sido
una bola de peligros, igual que apache... pero BOMBILLOS?!!!


APRETARON!



El problema es que hay muchos dispositivos embebidos con interfaces de 
administración web que por detrás lo que corren son cgi que invocan 
comandos, lo he visto en routers y APs para wifi. No creo que estén 
"apretando" tanto, mejor no confiarse.

saludos,

--
MSc. Dariem Pérez Herrera
Dpto. de Sistema Operativo
Centro de Software Libre (CESOL)
Universidad de las Ciencias Informáticas, Cuba



--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 
allá el que tenga algo escuchando en ip públicas, sitios web y toda
esas cosas...

por cierto

https://access.redhat.com/articles/1200223


postfix es seguro ;)

The Postfix server will replace various characters with a ?. While the
Postfix server does call Bash in a variety of ways, we do not believe
an arbitrary environment variable can be set by the server. It is
however possible that a filter could set environment variables.



allá los que le pongan gangarreas

xD



Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 13 
Date: Fri, Sep 26, 2014 
In reply to: Paradix ;) 
>
> El 26/09/14 16:44, Maykel Moya escribió:
> > On 2014-09-26 22:03, Paradix ;) wrote:
> > 
> > Hola Rainer
> > 
> >> escrito patetico ... la falla se llama shellshock y afecta bash, zsh y
> >> csh, no tengo referencias q afecte a ksh  cada vez q se anuncia una
> >> vulnerabilidad parece q se acaba el mundo, estos americanos son
> >> especialistas en generar terror
> > 
> > La noticia es sensacionalista pero no creo que tenga que ver mucho con
> > que sean americanos. ¿Qué vas a esperar de cnnenespanol, que es un medio
> > de masas? Podrías decir lo mismo de RT, que es ruso o del equivalente
> > chino (que no tengo idea de cómo se llama). Su función es hacer noticias
> > atractivas para que no te aburras visitando su sitio :)
> > 
> > El bug es grave. Se considera 10/10 en la escala de "cuán crítico es un
> > bug".
> > 
> > Hay gusanos propagándose. Mira
> > https://gist.github.com/anonymous/929d622f3b36b00c0be1
> > 
> > Acabo de ver que ya hay sitio "oficial": https://shellshocker.net/
> > 
> > Saludos,
> > maykel
> > 
> 
> en lo particular ... depende de cuan inocente pueda ser tu esquema de
> permisos, sino hago cgi mediante bash de que otra manera pudiera afectar
> mis servidores? (no tengo ninguno ahora pero por si acaso :D)
> 
> 
> 
> -- 
> Paradix  ;)
> 
> Haciendo abogacía por el software libre adonde voy
> 
> --
> Nunca digas nunca, di mejor: gracias, permiso, disculpe.
> 
> Este mensaje le ha llegado mediante el servicio de correo electronico que 
> ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
> Nacional de Salud. La persona que envia este correo asume el compromiso de 
> usar el servicio a tales fines y cumplir con las regulaciones establecidas
> 
> Infomed: http://www.sld.cu/
> 
> 
> -- 
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que está limpio.
> 
> __
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread Paradix ;) 
El 26/09/14 16:44, Maykel Moya escribió:
> On 2014-09-26 22:03, Paradix ;) wrote:
> 
> Hola Rainer
> 
>> escrito patetico ... la falla se llama shellshock y afecta bash, zsh y
>> csh, no tengo referencias q afecte a ksh  cada vez q se anuncia una
>> vulnerabilidad parece q se acaba el mundo, estos americanos son
>> especialistas en generar terror
> 
> La noticia es sensacionalista pero no creo que tenga que ver mucho con
> que sean americanos. ¿Qué vas a esperar de cnnenespanol, que es un medio
> de masas? Podrías decir lo mismo de RT, que es ruso o del equivalente
> chino (que no tengo idea de cómo se llama). Su función es hacer noticias
> atractivas para que no te aburras visitando su sitio :)
> 
> El bug es grave. Se considera 10/10 en la escala de "cuán crítico es un
> bug".
> 
> Hay gusanos propagándose. Mira
> https://gist.github.com/anonymous/929d622f3b36b00c0be1
> 
> Acabo de ver que ya hay sitio "oficial": https://shellshocker.net/
> 
> Saludos,
> maykel
> 

en lo particular ... depende de cuan inocente pueda ser tu esquema de
permisos, sino hago cgi mediante bash de que otra manera pudiera afectar
mis servidores? (no tengo ninguno ahora pero por si acaso :D)



-- 
Paradix  ;)

Haciendo abogacía por el software libre adonde voy

--
Nunca digas nunca, di mejor: gracias, permiso, disculpe.

Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/


-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread Maykel Moya 
On 2014-09-26 22:03, Paradix ;) wrote:

Hola Rainer

> escrito patetico ... la falla se llama shellshock y afecta bash, zsh y
> csh, no tengo referencias q afecte a ksh  cada vez q se anuncia una
> vulnerabilidad parece q se acaba el mundo, estos americanos son
> especialistas en generar terror

La noticia es sensacionalista pero no creo que tenga que ver mucho con
que sean americanos. ¿Qué vas a esperar de cnnenespanol, que es un medio
de masas? Podrías decir lo mismo de RT, que es ruso o del equivalente
chino (que no tengo idea de cómo se llama). Su función es hacer noticias
atractivas para que no te aburras visitando su sitio :)

El bug es grave. Se considera 10/10 en la escala de "cuán crítico es un
bug".

Hay gusanos propagándose. Mira
https://gist.github.com/anonymous/929d622f3b36b00c0be1

Acabo de ver que ya hay sitio "oficial": https://shellshocker.net/

Saludos,
maykel


-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 


Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 14 
Date: Fri, Sep 26, 2014 
In reply to: Matthias Apitz 
>
> El día Friday, September 26, 2014 a las 04:23:26PM -0400, låzaro escribió:
> 
> > caramba matias, para eso se necesita saltarse una pila de barreras
> > primero. Tal malvado que lograse ejecutar bash una vez, ejecutaría rm,
> > no esperaría a setearlo.
> 
> Esto sólo ha sido un ejemplo para mostrar cómo el problema funciona
> exactamente. Muchas veces en scripts de CGI-BIN o en CUPS valores dados
> son puestos en vars de ambiente (env var) y después un script es ejecutado,
> y si esto es un lanzar de un bash... bingo.
> 
>   matthias
> 
> 
> -- 
> Matthias Apitz   |  /"\   ASCII Ribbon Campaign:
> E-mail: g...@unixarea.de |  \ /   - No HTML/RTF in E-mail
> WWW: http://www.unixarea.de/ |   X- No proprietary attachments
> phone: +49-170-4527211   |  / \   - Respect for open standards
>  | en.wikipedia.org/wiki/ASCII_Ribbon_Campaign
> 

ya eso parece una explicación más racional, CGI-BIN siempre ha sido
una bola de peligros, igual que apache... pero BOMBILLOS?!!!


APRETARON!



-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread Matthias Apitz 
El día Friday, September 26, 2014 a las 04:23:26PM -0400, låzaro escribió:

> caramba matias, para eso se necesita saltarse una pila de barreras
> primero. Tal malvado que lograse ejecutar bash una vez, ejecutaría rm,
> no esperaría a setearlo.

Esto sólo ha sido un ejemplo para mostrar cómo el problema funciona
exactamente. Muchas veces en scripts de CGI-BIN o en CUPS valores dados
son puestos en vars de ambiente (env var) y después un script es ejecutado,
y si esto es un lanzar de un bash... bingo.

matthias


-- 
Matthias Apitz   |  /"\   ASCII Ribbon Campaign:
E-mail: g...@unixarea.de |  \ /   - No HTML/RTF in E-mail
WWW: http://www.unixarea.de/ |   X- No proprietary attachments
phone: +49-170-4527211   |  / \   - Respect for open standards
 | en.wikipedia.org/wiki/ASCII_Ribbon_Campaign

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 
caramba matias, para eso se necesita saltarse una pila de barreras
primero. Tal malvado que lograse ejecutar bash una vez, ejecutaría rm,
no esperaría a setearlo.

Además, en linux ejecutas export, cierras la terminal y lo que
exportaste desaparecio. El malvado debería escribirlo en
/etc/environment y para lograr tal cosa; vamos, no estaría linux donde
está si eso fuera posible.

Lee un link que mandé para allá, habla de cosas como mod_apache etc...


Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 11 
Date: Fri, Sep 26, 2014 
In reply to: Matthias Apitz 
>
> 
> Hola colegas,
> 
> El problema sí es grave. Miran este ejemplo de mi sistema:
> 
> Tú (o algún malvado) te pones/pone en tu ambiente algo como:
> 
> $ export x='() { :;}; rm /boot/bla'
> 
> y después ejecutas un nuevo bash:
> 
> $ bash
> rm: /boot/bla: No such file or directory
> 
> O sea, si el fichero /boot/bla hubiera existido, habría sido borrado 
> (suponiendo
> derechos suficientes).
> 
>   matthias
> -- 
> Matthias Apitz   |  /"\   ASCII Ribbon Campaign:
> E-mail: g...@unixarea.de |  \ /   - No HTML/RTF in E-mail
> WWW: http://www.unixarea.de/ |   X- No proprietary attachments
> phone: +49-170-4527211   |  / \   - Respect for open standards
>  | en.wikipedia.org/wiki/ASCII_Ribbon_Campaign
> 
> -- 
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que est? limpio.
> 

> __
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l


-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 
a según esto: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

NO TIENE NADA QUE VER CON BOMBILLOS

National Cyber Awareness System

Vulnerability Summary for CVE-2014-6271 Original release date: 09/24/2014 Last
revised: 09/26/2014 Source: US-CERT/NIST Overview

GNU Bash through 4.3 processes trailing strings after function definitions in
the values of environment variables, which allows remote attackers to execute
arbitrary code via a crafted environment, as demonstrated by vectors involving
the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in
the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other
situations in which setting the environment occurs across a privilege boundary
from Bash execution, aka "ShellShock." NOTE: the original fix for this issue
was incorrect; CVE-2014-7169 has been assigned to cover the vulnerability that
is still present after the incorrect fix.  Impact CVSS Severity (version 2.0):
CVSS v2 Base Score: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C) (legend) Impact
Subscore: 10.0 Exploitability Subscore: 10.0 CVSS Version 2 Metrics: Access
Vector: Network exploitable Access Complexity: Low Authentication: Not required
to exploit Impact Type: Allows unauthorized disclosure of information; Allows
unauthorized modification; Allows disruption of service References to
Advisories, Solutions, and Tools

By selecting these links, you will be leaving NIST webspace. We have provided
these links to other web sites because they may have information that would be
of interest to you. No inferences should be drawn on account of other sites
being referenced, or not, from this page. There may be other web sites that are
more appropriate for your purpose. NIST does not necessarily endorse the views
expressed, or concur with the facts presented on these sites. Further, NIST
does not endorse any commercial products that may be mentioned on these sites.
Please address comments about this page to n...@nist.gov.  External Source:
CONFIRM Name: https://bugzilla.redhat.com/show_bug.cgi?id=1141597 Type: Patch
Information Hyperlink: https://bugzilla.redhat.com/show_bug.cgi?id=1141597
External Source: CONFIRM Name:
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
Hyperlink:
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread Matthias Apitz 

Hola colegas,

El problema sí es grave. Miran este ejemplo de mi sistema:

Tú (o algún malvado) te pones/pone en tu ambiente algo como:

$ export x='() { :;}; rm /boot/bla'

y después ejecutas un nuevo bash:

$ bash
rm: /boot/bla: No such file or directory

O sea, si el fichero /boot/bla hubiera existido, habría sido borrado (suponiendo
derechos suficientes).

matthias
-- 
Matthias Apitz   |  /"\   ASCII Ribbon Campaign:
E-mail: g...@unixarea.de |  \ /   - No HTML/RTF in E-mail
WWW: http://www.unixarea.de/ |   X- No proprietary attachments
phone: +49-170-4527211   |  / \   - Respect for open standards
 | en.wikipedia.org/wiki/ASCII_Ribbon_Campaign

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 
dice un paranóico que hasta esta prueba, corre:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


http://www.linuxquestions.org/questions/linux-security-4/bash-shellshock-cve-2014-6271-cve-2014-7169-rated-10-a-4175519975/


Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 8 
Date: Fri, Sep 26, 2014 
In reply to: Paradix ;) 
>
> El 26/09/14 15:49, låzaro escribió:
> > No se ha ustedes pero esto me suena a panplina tremendistamente
> > exagerada:
> > 
> > 
> > La falla "bash" podría permitir que los hackers ataquen a través de una 
> > bombilla
> > 
> > http://cnnespanol.cnn.com/2014/09/25/la-falla-bash-podria-permitir-que-los-hackers-ataquen-a-traves-de-una-bombilla/
> > 
> > 
> > Por Jose Pagliery, CNNMoney
> > 
> > (CNNMoney) – Saluda a la falla "bash", una lección acerca de la razón por la
> > que los dispositivos conectados a Internet son intrínsecamente inseguros.
> ...
> 
> escrito patetico ... la falla se llama shellshock y afecta bash, zsh y
> csh, no tengo referencias q afecte a ksh  cada vez q se anuncia una
> vulnerabilidad parece q se acaba el mundo, estos americanos son
> especialistas en generar terror
> 
> 
> -- 
> Paradix  ;)
> 
> Haciendo abogacía por el software libre adonde voy
> 
> --
> Nunca digas nunca, di mejor: gracias, permiso, disculpe.
> 
> Este mensaje le ha llegado mediante el servicio de correo electronico que 
> ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
> Nacional de Salud. La persona que envia este correo asume el compromiso de 
> usar el servicio a tales fines y cumplir con las regulaciones establecidas
> 
> Infomed: http://www.sld.cu/
> 
> 
> -- 
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que está limpio.
> 
> __
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 

Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 4 
Date: Fri, Sep 26, 2014 
In reply to: Paradix ;) 
>
> El 26/09/14 15:58, Hugo Florentino escribió:
> > On Fri, 26 Sep 2014 15:49:14 -0400, låzaro wrote:
> >> No se ha ustedes pero esto me suena a panplina tremendistamente
> >> exagerada:
> >>
> >> La falla "bash" podría permitir que los hackers ataquen a través de
> >> una bombilla
> > 
> > Si bien tremendista, no tiene por que ser una exageración, si hay
> > alguien suficientemente geek que use internet para todos los
> > electrodomésticos de su casa, incluyendo bombillas inteligentes que usen
> > bash... el mundo está lleno de gente de todos los tipos, jeje.
> > 
> > Esto me recuerda el chiste de Raulito que había instalado linux en la
> > tostadora, lo que y la interfaz de entrada eran los botones de encendido
> > y expulsado, por lo que habia que teclear los comandos para tostar pan
> > en binario
> > 
> 
> acaso el bash q pueda estar un linux embebido tendrá todas las
> funcionalidades del mismo q esta en cualquier distribución?

si por ejemplo, en el caso de la totadora de Raulito, podrías hackear
al usaurio para asegurarte de que se coma el pan sin tostar...

porque quedamos en que solo afecta a linux empotrado?

o a to el mundo??

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread Paradix ;) 
El 26/09/14 15:58, Hugo Florentino escribió:
> On Fri, 26 Sep 2014 15:49:14 -0400, låzaro wrote:
>> No se ha ustedes pero esto me suena a panplina tremendistamente
>> exagerada:
>>
>> La falla "bash" podría permitir que los hackers ataquen a través de
>> una bombilla
> 
> Si bien tremendista, no tiene por que ser una exageración, si hay
> alguien suficientemente geek que use internet para todos los
> electrodomésticos de su casa, incluyendo bombillas inteligentes que usen
> bash... el mundo está lleno de gente de todos los tipos, jeje.
> 
> Esto me recuerda el chiste de Raulito que había instalado linux en la
> tostadora, lo que y la interfaz de entrada eran los botones de encendido
> y expulsado, por lo que habia que teclear los comandos para tostar pan
> en binario
> 

acaso el bash q pueda estar un linux embebido tendrá todas las
funcionalidades del mismo q esta en cualquier distribución?


-- 
Paradix  ;)

Haciendo abogacía por el software libre adonde voy

--
Nunca digas nunca, di mejor: gracias, permiso, disculpe.

Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/


-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread Paradix ;) 
El 26/09/14 15:49, låzaro escribió:
> No se ha ustedes pero esto me suena a panplina tremendistamente
> exagerada:
> 
> 
> La falla "bash" podría permitir que los hackers ataquen a través de una 
> bombilla
> 
> http://cnnespanol.cnn.com/2014/09/25/la-falla-bash-podria-permitir-que-los-hackers-ataquen-a-traves-de-una-bombilla/
> 
> 
> Por Jose Pagliery, CNNMoney
> 
> (CNNMoney) – Saluda a la falla "bash", una lección acerca de la razón por la
> que los dispositivos conectados a Internet son intrínsecamente inseguros.
...

escrito patetico ... la falla se llama shellshock y afecta bash, zsh y
csh, no tengo referencias q afecte a ksh  cada vez q se anuncia una
vulnerabilidad parece q se acaba el mundo, estos americanos son
especialistas en generar terror


-- 
Paradix  ;)

Haciendo abogacía por el software libre adonde voy

--
Nunca digas nunca, di mejor: gracias, permiso, disculpe.

Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/


-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 


Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 4 
Date: Fri, Sep 26, 2014 
In reply to: Leslie León Sinclair 
>
> Y... Boom goes the dynamite! Está algo inflada la noticia, no me es
> de extrañar en internet y en mil globs[no es blogs es globs] de
> tecnología inflan el la noticia a full. Razon por la que ya no leo
> NetTeo, clasico!
> 
> Bueno chicos a parchear entonces...
> 
> Salu2.

No hijo no! que a parchear de qué. Voy a cubrir el servidor con un
nylon negro de esos donde echan basura, hasta que salga debian 8 o
hasta la semana que viene; mientrasArch actualiza el upstream...

xD

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 


Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers 
ataquen a través de una bombilla" 
Mail number: 2 
Date: Fri, Sep 26, 2014 
In reply to: Hugo Florentino 
>
> On Fri, 26 Sep 2014 15:49:14 -0400, låzaro wrote:
> >No se ha ustedes pero esto me suena a panplina tremendistamente
> >exagerada:
> >
> >La falla "bash" podría permitir que los hackers ataquen a través de
> >una bombilla
> 
> Si bien tremendista, no tiene por que ser una exageración, si hay
> alguien suficientemente geek que use internet para todos los
> electrodomésticos de su casa, incluyendo bombillas inteligentes que
> usen bash... el mundo está lleno de gente de todos los tipos, jeje.
> 
> Esto me recuerda el chiste de Raulito que había instalado linux en
> la tostadora, lo que y la interfaz de entrada eran los botones de
> encendido y expulsado, por lo que habia que teclear los comandos
> para tostar pan en binario
> 

xD

genial


Me parece muy oportuno que con la salida de iOS 8 y la pronta llegada
de windows 9 le quieren echar con el rayo a Linux. Es más, diría que
es cosa de Google, que ahora con Android L, quiere eliminar la
competencia; y me refrito a ubuntu para móviles.




-- 
 Warning! 
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.






-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread Leslie León Sinclair 
Y... Boom goes the dynamite! Está algo inflada la noticia, no me es de 
extrañar en internet y en mil globs[no es blogs es globs] de tecnología 
inflan el la noticia a full. Razon por la que ya no leo NetTeo, clasico!


Bueno chicos a parchear entonces...

Salu2.


No se ha ustedes pero esto me suena a panplina tremendistamente
exagerada:


La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

http://cnnespanol.cnn.com/2014/09/25/la-falla-bash-podria-permitir-que-los-hackers-ataquen-a-traves-de-una-bombilla/



--
/***
*Téc. Leslie León Sinclair
*Administrador de Redes
*Empresa Torcedora de Tabaco "Carlos Baliño"
*Marianao 19390, Ciudad de la Habana, Cuba
*Another happy Slackware&  Debian GNU/Linux user
*Proud GNU/Linux User #445535
/



--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 
y lo más lindo es que no dicen que bolá con el bombillo

:D por suerte en Cuba no hay "bombillos inteligentes", ya que aquí no
importamos tubos de luz tibia, solo usamos luz fría.

No hace mucho hablaban del virus que atacaba al bios desde la targeta
de audio...


Thread name: "[Gutl-l] La falla "bash" podría permitir que los hackers ataquen 
a través de una bombilla" 
Mail number: 1 
Date: Fri, Sep 26, 2014 
In reply to: Lázaro Armando 
>
> No se ha ustedes pero esto me suena a panplina tremendistamente
> exagerada:
> 
> 
> La falla "bash" podría permitir que los hackers ataquen a través de una 
> bombilla
> 
> http://cnnespanol.cnn.com/2014/09/25/la-falla-bash-podria-permitir-que-los-hackers-ataquen-a-traves-de-una-bombilla/
> 
> 
> Por Jose Pagliery, CNNMoney
> 
> (CNNMoney) – Saluda a la falla "bash", una lección acerca de la razón por la
> que los dispositivos conectados a Internet son intrínsecamente inseguros.
> 
> Los investigadores en seguridad informática han descubierto una falla en la
> forma en que muchos dispositivos se comunican a través del Internet. En su
> nivel más básico, esta falla permite que alguien vulnere todos los 
> dispositivos
> en tu casa, negocio o edificio del gobierno; a través de algo tan simple como
> tu bombilla "inteligente".
> 
> Con esta falla, los criminales pueden potencialmente arruinar computadoras o
> robar información privada y gubernamental.
> 
> El problema se extiende a montones de computadoras conectadas a Internet
> ubicadas en cualquier parte - desde tiendas hasta hospitales y escuelas.
> 
> Es peor si eres uno de esos amantes de la tecnología que compra aparatos
> "inteligentes" conectados al Internet. Pero ten presente, eso incluye a un
> número velozmente creciente de empresas y gobiernos que usan dispositivos
> inteligentes - como cámaras - dentro de sus redes internas.
> 
> ¿Por qué debemos temerle a la falla "bash"? Porque está muy generalizado.
> 
> Según la compañía de software de código abierto Red Hat,, afecta cualquier
> dispositivo que use el sistema operativo Linux - que incluye todo, desde
> calculadoras hasta autos. Pero también afecta a las computadoras Mac de Apple 
> y
> algunas máquinas de Windows y de IBM. Google dijo que ninguna de las máquinas
> con Android es susceptible.
> 
> En una advertencia pública los investigadores de Red Hat clasificaron la falla
> como "catastrófica".
> 
> No todos los dispositivos conectados son vulnerables. Pero es difícil para el
> ciudadano promedio saber, por ejemplo, si su cámara de seguridad está en
> riesgo. Y es improbable que compañías e instituciones públicas estén
> actualizando cada computadora individual en la trastienda.
> 
> El problema es nuevo, pero los hackers ya han estado tratando de explotar el
> fallo para instalar botnets - secuestrando así una inmensa cantidad de
> computadoras. Luego ellos pueden usar estas legiones esclavas de dispositivos
> para extender malware o atacar sitios web.
> 
> Si esta falla se convierte en algo parecido a la falla "Heartbleed" 
> descubierta
> a principios de este año, podría ser que no veamos el daño sino hasta meses
> después. Y cuando lo hagamos, podría ser desastroso.
> 
> En el caso de "Heartbleed", al final los hackers entraron en la red de un
> hospital y robaron 4,5 millones de registros de pacientes, incluyendo números
> del Seguro Social.
> 
> El consultor noruego en seguridad informática Per Thorsheim señaló que la 
> falla
> ser convertirá en noticia vieja, pero las personas serán todavía vulnerables.
> 
> Thorsheim dijo: "En unos pocos días todo estará olvidado, y los hackers
> festejarán (esto) durante los años venideros".
> 
> ¿La única solución para la falla "bash"? Si se hace un parche y cuando esté
> disponible, actualiza cada dispositivo que tengas. Pero eso es algo que no es
> probable. No es frecuente que las compañías actualicen sus flotillas de
> dispositivos, y los consumidores rara vez le prestan atención a ese tipo de
> cosas.
> 
> Expertos en seguridad dicen que departamentos de informática ahora están
> realizando pruebas en los sistemas de cómputo para vare si los hackers ya han
> aprovechado esta falla. ¿El problema?   Tienen que retroceder bastante tiempo.
> Esta falla ha estado merodeando desde hace casi 20 años.
> 
> "No sabemos qué tan lejos llegará", dijo Chris Wysopal, cofundador de la
> empresa de aplicaciones de seguridad Veracode.
> 
> Así es como trabaja la falla "bash", tal y como lo explicó Robert Graham,
> experto en ciberseguridad.
> 
> El problema proviene de una falla en el "bash&quo

Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread Hugo Florentino 

On Fri, 26 Sep 2014 15:49:14 -0400, låzaro wrote:

No se ha ustedes pero esto me suena a panplina tremendistamente
exagerada:

La falla "bash" podría permitir que los hackers ataquen a través de
una bombilla


Si bien tremendista, no tiene por que ser una exageración, si hay 
alguien suficientemente geek que use internet para todos los 
electrodomésticos de su casa, incluyendo bombillas inteligentes que usen 
bash... el mundo está lleno de gente de todos los tipos, jeje.


Esto me recuerda el chiste de Raulito que había instalado linux en la 
tostadora, lo que y la interfaz de entrada eran los botones de encendido 
y expulsado, por lo que habia que teclear los comandos para tostar pan 
en binario


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

[Gutl-l] La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

2014-09-26 Thread låzaro 
No se ha ustedes pero esto me suena a panplina tremendistamente
exagerada:


La falla "bash" podría permitir que los hackers ataquen a través de una bombilla

http://cnnespanol.cnn.com/2014/09/25/la-falla-bash-podria-permitir-que-los-hackers-ataquen-a-traves-de-una-bombilla/


Por Jose Pagliery, CNNMoney

(CNNMoney) – Saluda a la falla "bash", una lección acerca de la razón por la
que los dispositivos conectados a Internet son intrínsecamente inseguros.

Los investigadores en seguridad informática han descubierto una falla en la
forma en que muchos dispositivos se comunican a través del Internet. En su
nivel más básico, esta falla permite que alguien vulnere todos los dispositivos
en tu casa, negocio o edificio del gobierno; a través de algo tan simple como
tu bombilla "inteligente".

Con esta falla, los criminales pueden potencialmente arruinar computadoras o
robar información privada y gubernamental.

El problema se extiende a montones de computadoras conectadas a Internet
ubicadas en cualquier parte - desde tiendas hasta hospitales y escuelas.

Es peor si eres uno de esos amantes de la tecnología que compra aparatos
"inteligentes" conectados al Internet. Pero ten presente, eso incluye a un
número velozmente creciente de empresas y gobiernos que usan dispositivos
inteligentes - como cámaras - dentro de sus redes internas.

¿Por qué debemos temerle a la falla "bash"? Porque está muy generalizado.

Según la compañía de software de código abierto Red Hat,, afecta cualquier
dispositivo que use el sistema operativo Linux - que incluye todo, desde
calculadoras hasta autos. Pero también afecta a las computadoras Mac de Apple y
algunas máquinas de Windows y de IBM. Google dijo que ninguna de las máquinas
con Android es susceptible.

En una advertencia pública los investigadores de Red Hat clasificaron la falla
como "catastrófica".

No todos los dispositivos conectados son vulnerables. Pero es difícil para el
ciudadano promedio saber, por ejemplo, si su cámara de seguridad está en
riesgo. Y es improbable que compañías e instituciones públicas estén
actualizando cada computadora individual en la trastienda.

El problema es nuevo, pero los hackers ya han estado tratando de explotar el
fallo para instalar botnets - secuestrando así una inmensa cantidad de
computadoras. Luego ellos pueden usar estas legiones esclavas de dispositivos
para extender malware o atacar sitios web.

Si esta falla se convierte en algo parecido a la falla "Heartbleed" descubierta
a principios de este año, podría ser que no veamos el daño sino hasta meses
después. Y cuando lo hagamos, podría ser desastroso.

En el caso de "Heartbleed", al final los hackers entraron en la red de un
hospital y robaron 4,5 millones de registros de pacientes, incluyendo números
del Seguro Social.

El consultor noruego en seguridad informática Per Thorsheim señaló que la falla
ser convertirá en noticia vieja, pero las personas serán todavía vulnerables.

Thorsheim dijo: "En unos pocos días todo estará olvidado, y los hackers
festejarán (esto) durante los años venideros".

¿La única solución para la falla "bash"? Si se hace un parche y cuando esté
disponible, actualiza cada dispositivo que tengas. Pero eso es algo que no es
probable. No es frecuente que las compañías actualicen sus flotillas de
dispositivos, y los consumidores rara vez le prestan atención a ese tipo de
cosas.

Expertos en seguridad dicen que departamentos de informática ahora están
realizando pruebas en los sistemas de cómputo para vare si los hackers ya han
aprovechado esta falla. ¿El problema?   Tienen que retroceder bastante tiempo.
Esta falla ha estado merodeando desde hace casi 20 años.

"No sabemos qué tan lejos llegará", dijo Chris Wysopal, cofundador de la
empresa de aplicaciones de seguridad Veracode.

Así es como trabaja la falla "bash", tal y como lo explicó Robert Graham,
experto en ciberseguridad.

El problema proviene de una falla en el "bash", un tipo de programa de
computadora llamado "shell". Un "shell" traduce tus comandos hasta el sistema
operativo de un dispositivo. Piensa en él como en un intermediario eficiente.

Muchísimos dispositivos conectados al Internet usan el "bash shell" para
ejecutar comandos como "enciende" y "apaga". Generalmente, un dispositivo que
se comunica utilizando un "bash shell" también busca información extra, como
cuál navegador o dispositivo estás usando.

Y ahí es donde radica el problema. Si un hacker ingresa un mal código dentro de
esta información extra, ellos pueden burlar las protecciones de un dispositivo.

Entonces, de repente, una bombilla "inteligente" conectada al Internet se
convierte en una plataforma de lanzamiento para hackear todo lo demás que se
encuentra detrás del firewall de tu red, dijo Graham. Eso puede incluir la
computadora de tu casa, las terminales de pago de una tienda minorista o la
información sensible de la base de datos de una oficina gubernamental.

"Este es el problema con el 'Internet de las cosas'. Nosotros estamos colo