[SECURITY-L] CAIS-Alerta: Vulnerabilidade no Bash permite execução remota de código
CSIRT - UNICAMP
security em unicamp.br
Sex Set 26 07:52:25 -03 2014
Prezados Administradores,
Conforme amplamente divulgado foi encontrado um bug de segurança
no GNU BASH (versao 4.3 e anteriores).
Orientamos verificar todos as maquinas sob sua responsabilidade
que rodam esse interpretador de comandos que e' encontrado na
maioria das distribuições Linux, *BSD e Unix like.
Caso verifiquem a existencia desse bug orientamos que seja
atualizado IMEDIATAMENTE pois a falha permite a execução
remota de comandos arbitrários.
OBS: E' importante que TODOS os usuarios que utilizam esses sistemas
operacionais sejam alertados para que possam efetivar a atualização
de seus sistemas.
Atenciosamente,
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
E-mail: security em unicamp.br
GnuPG Public Key: http://www.security.unicamp.br/security.asc
Contact: +55 19 3521-2289 or +55 19 3521-2290
INOC-DBA-BR: 1251*830
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
Date: Thu, 25 Sep 2014 16:36:45 -0300 (BRT)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Subject: CAIS-Alerta: Vulnerabilidade no Bash permite execução remota de código
-----BEGIN PGP SIGNED MESSAGE-----
O CAIS alerta sobre uma recente vulnerabilidade de exploração remota
presente no Bash, nas versões 4.3 e anteriores.O Bash é o
interpretador de comandos padrão da maioria das distribuições Linux e outros
sistemas *BSD e UNIX Like.
Impacto
A falha está relacionada à forma como o Bash processa variáveis de
ambiente passadas ao sistema operacional, por programas que solicitam
um script bash-based.
Um usuário mal intencionado poderia executar remotamente comandos
arbitrários contra uma aplicação web que execute scripts CGI, por
exemplo, ou contra sessões SSH em casos específicos
Versões afetadas
Todas as versões anteriores do GNU BASH, inclusive, a 4.3
Verificações
Para verificar se o seu ambiente está vulnerável, execute:
# env x='() { :;}; echo vulneravel' bash -c "echo isto e um teste"
Se a saída for:
vulneravel
isto e um teste
O sistema está vulnerável.
Caso a saída seja:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
isto e um teste
O sistema não está vulnerável.
Mais informações
https://access.redhat.com/articles/1200223
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
http://www.csoonline.com/article/2687265/application-security/remote-exploit-in-bash-cve-2014-6271.html
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/
Identificador CVE (http://cve.mitre.org)
CVE-2014-6271
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as as últimas versões e
correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no
Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp
Att,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBVCRu3Okli63F4U8VAQGUagQAiJxt3s9QOJmLobTlVnem9pPeLrkqIZPx
c7wzDBKqJIxnT81FJbwQ8nC5X1wXVZc8tj61DAyQjvfOaY1ouTZ19EHKsBagSitk
0a0ZgxhCYx1FGxHp5opsNYeUTdUlnmPXVmuAu/v1lQfRViw1jKZAbaqqCJHSBg2F
F1l6PeLzaeE=
=xOCA
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L