/ automation

O bug do Bash

Oh myyy!

Na última quarta-feira foi descoberto um bug no shell Bash, um dos utilitários mais usados no Linux, que quando explorado pode pode ser muito perigoso porque pode executar o código do intruso assim que o Bash é aberto.

Aqui há uma explicação sobre os detalhes técnicos do bug, encontrada no artigo da LWN.net:

O Bash suporta exportar não só variáveis do shell, mas também funções do shell para outras instâncias bash, através do processo 'environment' para processos filhos (indiretos). As versões atuais do bash usam a variável de ambiente nomeada pelhttp://a função 'name', e uma função começando com “() {” no valor da variável para propagar definições de função através do ambiente. A vulnerabilidade ocorre porque o bash não para depois de processar a definição da função; ele continua a analisar e executar comandos shell que seguem a definição da função. Por exemplo, uma configuração de variável de ambiente

VAR=() { ignored; }; /bin/id

executará /bin/id quando o ambiente é importado para dentro do processo bash. (O processo está num estado ligeiramente indefinido neste ponto. A variável PATH pode não estar configurada ainda, e o bash poderia deixar de funcionar após executar /bin/id, mas o dano já aconteceu nesse ponto.)

O fato que uma variável de ambiente com um nome arbitrário pode ser usada como veículo para uma definição de função mal-intencionada contendo comandos torna esta vulnerabilidade particularmente severa; ela habilita exploração com base na rede.

Especilistas estão dizendo que os ataques explorando o bug terão como alvo servidores web e dispositivos de rede e que aplicações PHP estarão vulneráveis também.

Se você é cliente Configr e tem o add-on AutoUpdate ativado, você já recebeu os primeiros patches de segurança e receberá os próximos, assim que estes estejam disponíveis.

Mas se você ainda não ativou o add-on de AutoUpdate...

"Permission to speak freely, sir?"

Por favor, não perca tempo e ative-o agora. Ele o ajudará a manter seus servidores funcionando com todas as atualizações de segurança instaladas, mesmo quando você não tiver tempo para verificar as notícias ou o relatório diário de segurança da sua distro para saber sobre os bugs. Se você pode estar um passo à frente, por que não?

"Live long and prosper."
Configr – Sua Nuvem. Suas Regras.

X

Cansado de perder tempo configurando servidores?

Com a Configr você tem tudo o que precisa para hospedar seus sites e aplicações de forma fácil, segura e automatizada.

Quero migrar meus sites
O bug do Bash
Share this