Alertan de un grave fallo de seguridad en sistemas Linux, Unix y Mac OS X.
Hace unos meses, la vulnerabilidad en el código de cifrado OpenSSL conocida como Heartbleed puso en jaque a media Internet. Ahora, expertos en seguridad avisan de un nuevo fallo conocido como Bash, o shellshock bug, por afectar precisamente al programa informático Bash de ejecución de comandos. La vulnerabilidad permite a atacantes robar datos y ejecutar malware en sistemas Linux, Unix y Mac OS X.
El fallo, descubierto por el experto en seguridad Stephane Schazelas, se trata de una variante de un agujero conocido desde hace años en el programa Bash. Dada su amplia distribución a nivel empresarial, los atacantes pueden utilizarlo para infiltrar sistemas Unix, Linux y Mac OS X en múltiples equipos, incluidos servidores, ordenadores y hasta por ejemplo cámaras WiFi conectadas, ya que suelen utilizar software que ejecuta comandos mediante Bash.
Según el experto de seguridad Robert Graham, el agujero de seguridad puede ser más importante que Heartbleed en extensión y número de dispositivos afectados, entre otras cosas porque al tratarse de una variante de un viejo fallo, hay muchos dispositivos antiguos vulnerables. Sin embargo, el nivel de daño que podría causar un ataque utilizando esta vía es potencialmente menor.
Según ha podido comprobar Ars Technica, la versión de Mac OS X 10.9.4 (Mavericks), por ejemplo, es vulnerable a este fallo. Apple aún no ha parcheado el uso del programa Bash en el sistema, aunque sí ha publicado una actualización de Command Line Tools para administradores.
Desde el punto de vista del usuario, no hay nada que se pueda hacer. Son los administradores de sistemas en las empresas y los distribuidores de Linux los que tienen que parchear el software. Varios distribuidores de Linux, como Red Hat o Fedora, ya han reconocido la gravedad del fallo y han publicado parches para el mismo (todavía no 100% completos), pero ahora falta que el resto, y las empresas y administradores, actúen rápido para solucionarlo.
Más datos sobre esta vulnerabilidad en la página de Red Hat: https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ y en la del experto de seguridad Robert Graham : http://es.gizmodo.com/alertan-de-un-grave-fallo-de-seguridad-mas-extendido-qu-1638980420
Ver mas informacion al respecto en Fuente: http://es.gizmodo.com/alertan-de-un-grave-fallo-de-seguridad-mas-extendido-qu-1638980420
saludos
ms, 25-9-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.