Uma falha de segurança grave no Bash, interpretador de comandos bastante usado em sistemas operacionais baseados em UNIX, foi divulgada 24/09/2014.

Esta vulnerabilidade é tão perigosa quanto aquela do Heartbleed, que afetou milhões de sites na internet e, provavelmente, foi usada pela NSA para espionar usuários.

Para quem não sabe, o Bash é o shell padrão em muitos sistemas operacionais baseados em UNIX, o que inclui distribuições GNU/Linux e o MacOS X. Red Hat, CentOS, Ubuntu e Debian já ganharam correções de segurança, mas, no momento em que escrevo este parágrafo, o OS X 10.9.5, última versão disponível, está vulnerável.

Para descobrir se uma máquina é afetada, basta rodar o seguinte comando no terminal:

env x='() { :;}; echo vulnerável' bash -c "echo ok"

Se a palavra "vulnerável" aparecer, isso significa que a máquina está vulnerável. Caso contrário, o bash retornará uma mensagem de erro.

Quando explorada, a falha permite que um código malicioso seja executado assim que o shell é aberto, o que deixa a máquina exposta a uma série de ataques.

E inúmeros softwares interagem com o shell de diferentes maneiras, ele é frequentemente usado pelo Apache para gerar páginas dinâmicas, por exemplo, e a brecha também pode ser explorada por meio do OpenSSH, como informa o Ars Technica.

Fonte:

• Shellshock: falha de segurança grave no Bash afeta máquinas com Linux e OS X | Tecnoblog

Para corrigir em seu Debian, aplicando somente atualizações de segurança, execute os comandos abaixo:

# apt-get update
# apt-get install --only-upgrade bash

Depois de atualizado, execute o comando novamente:

env x='() { :;}; echo vulnerável' bash -c "echo ok"

Se a atualização ocorrer corretamente, a linha "vulnerável" não poderá exibir.

Esta dica atualiza somente o Bash do seu servidor, não tendo necessidade de atualizar os demais pacotes, como em outros tutoriais ou dicas que você encontra por aí.


Espero que seja útil à vocês,
Leandro Alexandre.