A lo largo de ayer aparecieron en Internet multitud de avisos relacionados con una vulnerabilidad existente en OS X si Linux, permitiendo a los piratas informáticos obtener acceso remoto a las computadoras de las víctimas sin que ellas lo sepan. La vulnerabilidad existe en Comandos de Bash, un sistema UNIX a través del cual se pueden ejecutar comandos para OS X directamente desde la aplicación terminal, el sistema operativo OS X de Apple también se ve afectado en cierta medida.
La gran mayoría de los usuarios de OS X no están en riesgo de sufrir las vulnerabilidades de bash reportadas recientemente. Bash, un lenguaje y shell de comando UNIX incluido en OS X, tiene una debilidad que podría permitir a usuarios no autorizados obtener control remoto de los sistemas vulnerables. Con OS X, los sistemas son seguros de forma predeterminada y no están expuestos a ataques remotos de bash a menos que los usuarios configuren servicios UNIX avanzados. Estamos trabajando para proporcionar rápidamente una actualización de software para nuestros usuarios avanzados de UNIX.
Se le preguntó qué medidas tomará Apple para solucionar el problema. anunciado que la mayoría de los usuarios de la plataforma OS X no se ven afectados por esta vulnerabilidad y que en el próximo período se lanzará una actualización para aquellos que sí lo estén. Nadie sabe todavía cuándo Apple lanzará esta actualización, pero la vulnerabilidad ha sido descrita como más peligrosa que la llamada Heartbleed y descubierta hace muchos meses.
Pentru a rezolva problema cu din versiunea curenta de bash urmati urmatorii pasi:
In primul rand verificati versiunea instalata pe Mac-ul vostru:
$ env x='() { :;}; echo vulnerabil’ bash -c ‘echo buna’
Ar trebui sa aveti un output de genul:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
bueno
Daca output-ul contine “vulnerabil” atunci trebuie sa faceti update.
Pentru versiunea 3.2.52(1) ($bash –version) exista o variatie a acestui bug si pentru a testa rulati urmatoarele comenzi:
$ rm -f echo
$ env X='() { (a)=>\’ sh -c “echo date”; cat echo
Daca output-ul arata ceva de genul:
sh: X: line 1: syntax error near unexpected token `=’
sh: X: line 1: `’
sh: error importing function definition for `X’
Thu 26 Sep 2014 10:50:18 BST
atunci versiunea voastra de bash este vulnerabila.
Pentru a updata versiunea de bash la ultima versiune in care acest bug nu exista rulati fiecare comanda de mai jos pe rand (trebuie sa aveti Xcode instalat):
$ mkdir bash-fix
$ cd bash-fix
$ rizo https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf –
$ cd bash-92/bash-3.2
$ rizo https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0
$ # Not-yet-released-patch – replace seclists line with:
$ # curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-053 | patch -p0
$ rizo http://alblue.bandlem.com/bash32-053.patch | patch -p0
$cd..
$ xcodebuild
$ sudo cp /bin/bash /bin/bash.old
$ sudo cp /bin/sh /bin/sh.old
$ build/Release/bash –version # GNU bash, version 3.2.53(1)-release
$ build/Release/sh –version # GNU bash, version 3.2.53(1)-release
$ sudo cp build/Release/bash /bin
$ sudo cp build/Release/sh /bin
La final rulati comanda:
$ bash –versión
Si ar trebui sa aveti urmatorul output:
GNU bash, versión 3.2.53(1) (x86_64-apple-darwin13)
Pentru securitate sporita ar trebui sa preveniti sistemul sa mai foloseasca vechea versiune de bash ruland urmatoarea comanda:
$ sudo chmod a-x /bin/bash.old /bin/sh.old
Am uitat sa precizez: deschideti terminalul din OSX pentru a rula acele comenzi.
GNU bash, version 4.3.24(1)-release, Arch Linux, sunt ok.
Cred că în mare parte cei cu serverile/hostingul ar trebui să se simtă amenințați, pînă a putea executa o comanda în consolă pe un computer personal este treabă…