[SECURITY-L] Falha de segurança no bash (CVE-2014-6271)

[CSIRT - UNICAMP]

Falha de seguranca no bash (CVE-2014-6271)

Uma recente falha de seguranca (CVE-2014-6271 e CVE-2014-7169)
descoberta no bash permite a execucao de codigos arbitrarios. Alguns
servicos e aplicativos permitem que um atacante remoto nao autenticado
forneca variaveis de ambiente, permitindo-lhes explorar esta questao.

 
Sistemas afetados

Todos que possuem interpretador bash instalado. Voce pode testar se
seu sistema esta vulneravel com o comando abaixo:

# env abc='() { :;}; echo vulneravel'  bash -c "echo isso eh um teste"

Se seu sistema for vulneravel, irá retornar:

vulneravel
isso eh um teste

Se nao for afetado pela vulnerabilidade ira retornar algo como
abaixo:

bash: warning: abc: ignoring function definition attempt
bash: erro ao importar a definição da função para `abc'
isso eh um teste
Servicos afetados

Vários servicos podem ser utilizados para explorar essa falha, tais
como: httpd, SSH, dhclient, cups, Firefox, Postifix, entre outros.
Correcao

Atualize a versao do bash para a ultima versao disponivel. A maioria
dos sistemas ja disponibilizaram correcao para esta falha.
Fonte:

https://access.redhat.com/articles/1200223

http://askubuntu.com/questions/528101/what-is-the-cve-2014-6271-bash-vulnerability-and-how-do-i-fix-it