viernes, 17 de octubre de 2014

What is the CVE-2014-6271 bash vulnerability (Shellshock) and how do I fix it? / ¿Qué es la vulnerabilidad bash-CVE 2014-6271 (Shellshock) y cómo puedo solucionarlo?

What is Bash?

Bash is the default interactive shell in Ubuntu. When you are interfacing with the terminal (either through the terminal emulator, over a tty, or ssh), you are generally typing commands that bash will read, and execute. Even if you do not use the terminal at all, you still have Bash.

On Ubuntu, /bin/sh is not bash (it is dash). Only bash is affected by this vulnerability.

Am I vulnerable?

Use dpkg to check your installed package version:

dpkg -s bash | grep Version

This will look up info on your bash package, and filter the output to only show you the version. The fixed versions are 4.3-7ubuntu1.4, 4.2-2ubuntu2.5, and 4.1-2ubuntu3.4.

For example, I see:

wlan1-loopback% dpkg -s bash | grep Version Version: 4.3-7ubuntu1.4

and can determine that I am not vulnerable.

How do I update?

The standard update manager will offer you this update. This is a prime example of how security updates are important, no matter what OS you use or how well-maintained it is.

The USN Bulletin states that new versions have been released for Ubuntu 14.04 Trusty Tahr, 12.04 Precise Pangolin, and 10.04 Lucid Lynx. If you are not on one of these LTS versions, but are on a reasonably-recent version, you'll most likely be able to find a patched package.

First, check If you are vulnerable, you should first grab the newest package lists:

sudo apt-get update && sudo apt-get install bash

The first command makes sure that you have the newest package list that includes the fixed version, and the second command installs the newest (fixed) version of bash.

While the bug only appears to come into play when bash is spawned, it's still a good idea to reboot immediately if feasible.



¿Qué es Bash?

Bash es el shell interactivo por defecto en Ubuntu. Cuando ud interactúa con el terminal (ya sea a través del emulador de terminal, un tty o ssh), está generalmente escribiendo comandos que bash puede leer y ejecutar. Incluso si usted no utiliza el terminal en absoluto, usted todavía tiene Bash.

En Ubuntu, / bin / sh no es bash (es dash). Sólo bash se ve afectado por esta vulnerabilidad.

¿Soy vulnerable?

Use dpkg para comprobar la versión de su paquete instalado:

dpkg -s fiesta | grep Version

Esto buscará información sobre su paquete bash. Esto filtrara la salida y sólo mostrará la versión. Las versiones sin problemas son 4.3-7ubuntu1.4, 4.2-2ubuntu2.5 y 4.1-2ubuntu3.4.

Por ejemplo, veo:

wlan1-loopback% dpkg -s bash | grep Version
Versión: 4.3-7ubuntu1.4

y puedo determinar que no soy vulnerable.


¿Cómo puedo actualizar?

El gestor de actualizaciones estándar le ofrecerá esta actualización. Este es un excelente ejemplo de cómo las actualizaciones de seguridad son importantes, no importa qué sistema operativo utilize.

El Boletín USN afirma que nuevas versiones han sido liberadas para Ubuntu 14.04 Trusty Tahr, 12.04 Precise Pangolin, y 10.04 Lucid Lynx. Si usted no está en una de estas versiones LTS, pero está en una versión bastante reciente-, lo más probable es que sea capaz de encontrar un paquete de parches.

En primer lugar, comprobar si usted es vulnerable, primero debe agarrar las nuevas listas de paquetes:

sudo apt-get update && sudo apt-get install bash

El primer comando se asegura de que usted tiene la lista de paquetes más reciente, que incluye la versión parcheada, y el segundo comando instala la versión más reciente (parcheada) de bash.

Si bien el fallo sólo parece entrar en juego cuando se genera de bash, es una buena idea reiniciar de inmediato si es factible.

No hay comentarios:

Publicar un comentario

How To Convert Virtual Machines Between VirtualBox and VMware

Migrating to another virtual machine program can be intimidating. if you already have your virtual machines set up they way you like th...