Declaración sobre la vulnerabilidad “Shell Shock”

Estimados clientes,

Con respecto a la noticia que recientemente ha circulado en Internet acerca de la vulnerabilidad denominada “Shell Shock“, y causada por un error de programación en la shell bash (con 22 años de antigüedad, pues apareció por primera vez en bash v1.3),  desde doblenet queremos informarle:

  • Ninguno de nuestros sistemas tiene activada la ejecución de scripts CGI, lo cuál les hace invulnerables de forma directa
  • La shell bash no es el intérprete de comandos por defecto en ninguno de nuestros sistemas (usamos Debian, y por tanto /bin/dash)
  • Se ha procedido a instalar la versión más reciente disponible de la shell bash de forma inmediata.

La vulnerabilidad consiste en (literalmente):

GNU Bash hasta la versión 4.3 procesa las cadenas de texto posteriores a una definición de función dentro de los valores de variables de entorno, lo cuál permite a atacantes remotos ejecutar comandos arbitrarios mediante un entorno de ejecución especialmente manipulado, como se demuestra por vectores que utilizan la funcionalidad ForceCommand del servidor OpenSSH, extensiones mod_cgi y mod_cgid del servidor HTTP Apache, scripts ejecutados por determinados clientes DHCP y otras situaciones en las cuáles se utilizan variables de entorno para pasar valores entre fronteras/dominios de privilegio mediante la ejecución de comandos shell.

Autenticación: No requerida para el ataque (Criticidad 10 de 10)

Impacto: Permite divulgación no autorizada de información; Permite modificación de datos no autorizada; Permite la disrupción del servicio.

Nuestro equipo ha llevado a cabo la siguiente actualización:

  • Se ha instalado la versión bash (=4.2+dfsg-0.1+deb7u3) en todos los sistemas con soporte de seguridad activo.
  • Contiene bugfixes para la vulnerabilidad CVE-2014-6271 (fallo original detectado)
  • Contiene bugfixes para la vulnerabilidad CVE-2014-7169 (completa y corrige la anterior)
  • Esta versión del paquete está creada @2014-09-25T 21:43:01 +0200)

 

RESUMEN: Nuestros sistemas no han sido nunca vulnerables (no se permite la ejecución de CGIs en ninguno de nuestros servicios y la mayoría de funciones POSIX de PHP están bloqueadas), pero aún así se acaba de completar la actualización de todos los sistemas abiertos al exterior con las últimas versiones disponibles.
Se han instalado paquetes de bash que incluyen parches para eliminar las vulnerabilidades referenciadas más arriba (última versión del paquete actualizada)

 

Gracias por su confianza y fidelidad.

 

Atentamente,

El equipo de doblenet

 

Viernes, 26 de Septiembre de 2014. T00:08 +0200