Nuevo Heartbleed: vulnerabilidad en Bash detectada (CVE-2014-6271, #Shellshock)


Red Hat ha anunciado el descubrimiento de una nueva vulnerabilidad en bash que puede ser explotada por un atacante para establecer variables del entorno de forma remota e incluso ejecutar comandos de shell en un sistema Unix based/like, (ya que alguien podría declarar una variable del tipo VARIABLE = function() remotamente en dicho sistema y ejecutar código arbitrario en el mismo). Para los que no entiendan la magnitud de este problema, Bash es el entorno de shell usado no solo en prácticamente todos los sistemas Linux allá afuera sino también en OS X y en algunos de la familia BSD,  (si no me equivoco) por lo que si utilizas algún sistema operativo Unix based/like como éstos, deberías tomar cartas en el asunto... Para saber si tu sistema se encuentra afectado por la vulnerabilidad mencionada, corre en consola:

env x='() { :;}; echo OOPS' bash -c /bin/true

Si el output de dicho comando es OOPS entonces tu versión de bash está afectada por la vulnerabilidad y deberás actualizarla lo antes posible. Por otro lado si el output es:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'

tu sistema está seguro (al menos contra esta vulnerabilidad).

La mayoría de distribuciones linux ya están distribuyendo los bugfixes adecuados a través de sus canales de updates convencionales, so si estás en un sistema Fedora/CentOS/RHEL (por ejemplo) bastará con correr:

sudo yum -y update

para obtener las actualizaciones pertinentes y parchar la vulnerabilidad. Asegúrate de revisar que la actualización de bash venga en la descarga y verifica el estatus de tu sistema con el comando citado previamente después del parchado.