Se ha descubierto una grave vulnerabilidad en bash, el intérprete de sistemas Unix, como OSX, y de comandos Linux. Por lo visto, este fallo de seguridad también afecta a otros interpretes como ksh, tcsh, zsh y csh. Sin embargo, no se están viendo afectadas otras shells.
Los servidores de UDS Enterprise no son vulnerables a este fallo, por lo que la seguridad de las máquinas virtuales que se proveen con UDS Enterprise se mantiene intacta.
La vulnerabilidad se ha registrado como CVE-2014-6271 y permite ejecutar ciertos comandos debido al erróneo procesado de las variables de entorno. Además, si se dan ciertos factores, puede ser explotada de manera remota.
El problema radica en que, como todos los lenguajes interpretados, bash permite la declaración de funciones, que no son debidamente validadas cuando se almacenan en una variable.
Aquí podéis ver ejemplos de esta vulnerabilidad:
Y os dejamos otra lectura recomendada sobre este tema:
Bash Code Injection Vulnerability via Specially Crafted Environment Variables
Debe autenticarse para comentar este post