Shellshock - Corrigindo falha de segurança do bash em seu servidor Debian

Publicado por Leandro Alexandre ® em 03/10/2014

[ Hits: 8.779 ]

 


Shellshock - Corrigindo falha de segurança do bash em seu servidor Debian



Uma falha de segurança grave no Bash, interpretador de comandos bastante usado em sistemas operacionais baseados em UNIX, foi divulgada 24/09/2014.

Esta vulnerabilidade é tão perigosa quanto aquela do Heartbleed, que afetou milhões de sites na internet e, provavelmente, foi usada pela NSA para espionar usuários.

Para quem não sabe, o Bash é o shell padrão em muitos sistemas operacionais baseados em UNIX, o que inclui distribuições GNU/Linux e o MacOS X. Red Hat, CentOS, Ubuntu e Debian já ganharam correções de segurança, mas, no momento em que escrevo este parágrafo, o OS X 10.9.5, última versão disponível, está vulnerável.

Para descobrir se uma máquina é afetada, basta rodar o seguinte comando no terminal:

env x='() { :;}; echo vulnerável' bash -c "echo ok"

Se a palavra "vulnerável" aparecer, isso significa que a máquina está vulnerável. Caso contrário, o bash retornará uma mensagem de erro.

Quando explorada, a falha permite que um código malicioso seja executado assim que o shell é aberto, o que deixa a máquina exposta a uma série de ataques.

E inúmeros softwares interagem com o shell de diferentes maneiras, ele é frequentemente usado pelo Apache para gerar páginas dinâmicas, por exemplo, e a brecha também pode ser explorada por meio do OpenSSH, como informa o Ars Technica.

Fonte:
Para corrigir em seu Debian, aplicando somente atualizações de segurança, execute os comandos abaixo:

# apt-get update
# apt-get install --only-upgrade bash

Depois de atualizado, execute o comando novamente:

env x='() { :;}; echo vulnerável' bash -c "echo ok"

Se a atualização ocorrer corretamente, a linha "vulnerável" não poderá exibir.

Esta dica atualiza somente o Bash do seu servidor, não tendo necessidade de atualizar os demais pacotes, como em outros tutoriais ou dicas que você encontra por aí.


Espero que seja útil à vocês,
Leandro Alexandre.

Outras dicas deste autor

Instalando e configurando na mão o PHP 5 e MySQL 5 no Ubuntu 7

Mantenha seu servidor Ubuntu atualizado!

Excluir arquivo de uma pasta do servidor através do PHP

rcconf: configure e controle os serviços de inicialização do Debian ou Ubuntu

Criando um contator de visitas para seu site (PHP grava no TXT)

Leitura recomendada

Descobrindo informações variadas do alvo pelo BackTrack 4

Couldn't load target 'ETH0':/lib/xtables/libipt_ETH0.so

Série de Webinars - Auditoria de Segurança em Aplicações WEB

Artigo e webinar sobre Nmap - Ferramenta de código aberto com diversas funcionalidades

Criando senhas mais difíceis

  

Comentários
[1] Comentário enviado por carvanders em 03/10/2014 - 09:29h

Ae! Show. Tive um problema. Ao rodar o comando de atualização, diz ser a mais nova. Porém, ao executar o teste, continua vulnerável. Alguem teria ideia do que possa ser?
Obrigado!

[Resolvido]

[2] Comentário enviado por naner00 em 03/10/2014 - 13:41h

Estou usando o ubuntu 11.10 e mesmo atualizando o bash continua mostrando a linha de vulneravel. Alguém poderia me ajudar ?

[3] Comentário enviado por lucasvasconcelos em 04/10/2014 - 21:22h

Talvez para algumas distribuições e para algumas versões não dê certo pois não possuem(ainda) suporte para tal atualização...na openSUSE por exemplo, até um dia destes mesmo atualizando o bash a falha continuava..
testei no meu ubunto 14.04.1 e de certo
É importade atualizar todo o sistema tbm. boa sorte ai galera

[4] Comentário enviado por Thihup em 06/10/2014 - 09:08h


[2] Comentário enviado por naner00 em 03/10/2014 - 13:41h:

Estou usando o ubuntu 11.10 e mesmo atualizando o bash continua mostrando a linha de vulneravel. Alguém poderia me ajudar ?


Amigo !!!

Atualize urgente p/ o Ubuntu 12.04 ou p/ o 14.04,pois o ubuntu 11.10 já perdeu suporte , é um risco continuar com essa versão , por tanto , a canonical nao envia atualizações .

Salve seus arquivos importantes e faça uma formatação limpa

Espero ter ajudado

[]'s

T+

[5] Comentário enviado por raulmanoelr em 08/10/2014 - 09:42h

Bom Dia amigo. Na empresa que trabalho temos um Debian 5 onde está hospedado nossa página web. Quando executo o comando retorna a seguinte mensagem:

debian5-amd64:~# apt-get install --only-upgrade bash
E: Sentido only não é compreendido, tente verdadeiro ou falso.


[6] Comentário enviado por saitam em 10/10/2014 - 08:31h

Veja como resolver o bug shellschock do bash de forma manual

http://mundodacomputacaointegral.blogspot.com.br/2014/09/corrigindo-o-bug-shellschock-do-bash.html



[7] Comentário enviado por raulmanoelr em 13/10/2014 - 13:27h

Deu certo aqui pessoal =D. Consegui atualizar o bash no Debian Lenny usando esse tutorial. Fiz a partir do passo 5 e deu certo.

http://docs.gz.ro/debian-lenny-bash-shellshock.html

[8] Comentário enviado por brunobrn1 em 15/10/2014 - 12:38h

raulmanoelr,

Como vc resolveu esse seu problema?
O tutorial NÃO encontra-se mais disponível. Poderia informa qual o procedimento vc realizou para resolver o seu problema?

Meus servidores está dando o mesmo erro.

E: Sense only is not understood, try true or false.


[9] Comentário enviado por mcnd2 em 27/11/2014 - 19:59h


[6] Comentário enviado por saitam em 10/10/2014 - 08:31h:

Veja como resolver o bug shellschock do bash de forma manual

http://mundodacomputacaointegral.blogspot.com.br/2014/09/corrigindo-o-bug-shellschock-do-bash.html




Facin...

Da versão 4.2.37 para a atual versão:

$ bash -version
GNU bash, version 4.3.25(1)-release (x86_64-unknown-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts