Está Escrito:
No lo que entra en la boca contamina al hombre; mas lo que sale de la boca, esto contamina al hombre. (Mateo 15:11)
Tomado de: DiarioTI
Descuido en el diseño de la herramienta 'bash' -
intérprete de la línea de comandos de Unix - permite en teoría ejecutar
código a distancia y así tomar el control de sistemas. Shellshock ha
impactado aproximadamente a medio millón de servidores web y
dispositivos.
Una
vulnerabilidad crítica recién descubierta llamada Shellshock, ha
impactado aproximadamente a medio millón de servidores web, así como
dispositivos conectados a Internet, incluyendo teléfonos móviles,
routers y dispositivos médicos; de acuerdo con los expertos de defensas
amenazas de Trend Micro. La empresa destaca que Shellshock, al estar
relacionado con Linux, puede también afectar a las plataformas PC y
Apple.
Shellshock es una vulnerabilidad crítica, que Trend Micro
describe como “una plaga”. Dicha amenaza, al ser explotada, permite el
acceso a los sistemas basados en Linux a través de sus líneas de
comando.
Considerando que estos sistemas constituyen
aproximadamente el 51% de los servidores web en el mundo, la capacidad
de penetración es elevada y los ataques podrían aumentar a un ritmo muy
rápido.
“La reciente vulnerabilidad Heartbleed es de naturaleza
similar a Shellshock, pero Heartbleed solo queda eclipsada por la
extensión y alcance de esta nueva vulnerabilidad”, escribe Trend Micro.
Debido a la naturaleza y alcance de Shellshock, la empresa sugiere considerar lo siguiente:
- Usuario final: Estar atento a los nuevos parches de seguridad e implementarlos inmediatamente.
- Administrador de TI: Si cuentan con el sistema Linux, se recomienda deshabilitar los scripts o las secuencias de comandos BASH inmediatamente.
- Operador de sitio Web: Si el BASH está en sus scripts, parche lo antes posible, o modifique sus scripts para no utilizar BASH.
· Clientes que cuentan con servicios de hosting o de terceros: Pregunte a su proveedor que están haciendo para remediar y aplicar parches.
Trend Micro ofrece información actualizada sobre Shellshock” en su blog de seguridad.