«

»

set 26

Imprimir Post

ShellShock – Já atualizou o seu Bash?

0 Flares Twitter 0 Facebook 0 Filament.io 0 Flares ×

shellshock_bash

Bom dia Galera,

Recentemente foi descoberto uma falha de segurança no pacote bash, que por alguns foi considerada mais perigosa até que o HeartBleed.

Com esta falha o invasor consegue tomar posse de seu Shell(bash apenas), e conseguir executar comandos remotamente, basta você possuir um servidor web aberto, legal né? Não, vamos corrigir.

O bug ficou conhecido como ShellShock. Precisamos trata-lo já.

Grandes distribuições como Debian, RedHat(CentOS) já lançaram updates para isso.

Façam o teste para verificar se seu bash esta vulneravel antes de atualizar, com o comando:

Important!

env x='() { :;}; echo Vulneravel’ bash -c “echo AW2NET”

Se a saida for “Vulneravel, é necessário atualizar. Se a saída for AW2NET seu servidor já esta atualizado.

Segue referencia de versão de bashs corrigidas: (RHEL e CentOS adotem as mesmas versões.)

RHEL6 – Versão com patch: bash-4.1.2-15.el6_5.1.x86_64.rpm
Mirror para Download do CentOS 6 ou RHEL 6 sem subscrição:
http://mirror.centos.org/centos/6/updates/x86_64/Packages/bash-4.1.2-15.el6_5.1.x86_64.rpm

Important!

1 Para Instalar: rpm -Uvh bash-4.1.2-15.el6_5.1.x86_64.rpm
2 rode o teste novamente, a saída devera ser nula.

RHEL5 – Versão com patch: bash-3.2-33.el5.1.x86_64.rpm
Mirror para Download do CentOS 5 ou RHEL5 sem subscrição:
http://mirror.centos.org/centos/5/updates/x86_64/RPMS/bash-3.2-33.el5_10.4.x86_64.rpm

Important!

1 Para instalar: rpm -Uvh bash-3.2-33.el5_10.4.x86_64.rpm
2 rode o teste novamente, a saída deverá ser nula.

Debian Squeeze – Versão com patch: bash 4.1-3+deb6u2
Repo-Debian-Squeeze:

Important!

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free
1 apt-get update ; apt-get install -y bash
2 rode o teste novamente, a saída deverá ser nula.

Debian Wheezy – Versão com patch: bash 2.2+dfsg-0.1+deb7u3
Onde encontrar o Update- Reposotório de Updates ou:

Important!

http://security.debian.org/debian-security/pool/updates/main/b/bash/bash_4.2+dfsg-0.1+deb7u3_amd64.deb
1 dpkg -i bash_4.2+dfsg-0.1+deb7u3_amd64.deb
2 rode o teste novamente, a saída deverá ser nula.

Recomendamos fortemente, que façam em todos os servidores, até os que não estão abertos para o “mundo”.

Rubem De Lima Savordelli (5 Posts)


0 Flares Twitter 0 Facebook 0 Filament.io 0 Flares ×

Sobre o autor

Rubem De Lima Savordelli

Link permanente para este artigo: http://comunidade.aw2net.com.br/shellshock-ja-atualizou-o-seu-bash/

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

0 Flares Twitter 0 Facebook 0 Filament.io 0 Flares ×