'Bigger than Heartbleed' Shellshock flaw leaves OS X, Linux, more open to attack. - ‘Más grande que Heartbleed’ el defecto Shellshock deja OS X y Linux más vulnerables a los ataques.
Well, this isn't good. Akamai security researcher Stephane Chazelas has discovered a devastating flaw in the Unix Bash shell, leaving Linux machines, OS X machines, routers, older IoT devices, and more vulnerable to attack. "Shellshock," as it's been dubbed, allows attackers to run deep-level shell commands on your machine after exploiting the flaw, but the true danger here lies in just how old Shell Shock is—this vulnerability has apparently been lurking in the Bash shell for years.
Bien, ésto no es bueno. El investigador de seguridad de Akami, Stephane Chazelas, ha descubierto un defecto devastador en la Bash shell Unix, dejando las máquinas de Linux, las máquinas y los routers de OS X, los dispositivos más antiguos de la IoT y más vulnerables a los ataques. “Shellshock”, como ha sido apodado, permite a los atacantes ejecutar comandos de la shell a un nivel profundo en tu máquina después del fallo del defecto, pero el verdadero peligro radica en la antigüedad del Shellshock –al parecer esta vulnerabilidad ha estado acechando dentro de la Bash shell durante años.
Why this matters: A large swath of the web-connected devices, web servers, and web-powered services run on Linux distributions equipped with the Bash shell, and Mac OS X Mavericks is also affected. The fact that Shellshock's roots are so deep likely means that the vulnerability will still be found in unpatched systems for the foreseeable future—though the odds of it directly impacting you appear somewhat slim if you use standard security precautions.
Por qué es importante: Una amplia franja de los dispositivos conectados a la web, servidores web y servicios impulsados por la web se ejecutan en distribuciones de Linux equipadas con la Bash shell; el sistema operativo Maverick X para Mac también se ha visto afectado. El hecho de que las raíces de Shellshock sean tan profundas, probablemente significa que la vulnerabilidad todavía se encontrará en los sistemas sin parche en un futuro próximo -aunque las probabilidades de que te afecte directamente parecen escasas si utiliza precauciones de seguridad estándar.
Update: Security researchers are already finding evidence of the Shellshock Bash bug being exploited in the wild, according to ZDNet. One exploit attempts to install a denial-of-service attack bot and guess the login information for affected servers using a list of commonly used passwords.
Actualización: De acuerdo con ZDNet, los investigadores de seguridad ya han encontrado pruebas de que el error del Shellshock está siendo explotado fuera de control. Un uso del error intenta instalar un bot de ataque de denegación de servicio y obtener la información de inicio de sesión para los servidores afectados utilizando una lista de contraseñas de uso común.
Heartbleed redux
El regreso de Heartbleed
The news comes as the security community is just shaking off the effects of Heartbleed, a critical vulnerability in the widely used OpenSSL security protocol. "Today's bash bug is as big a deal as Heartbleed," says Errata Security's Robert Graham, a respected researcher.
Esta noticia surge mientras la comunidad de seguridad está, justamente, sacudiéndose los efectos del Hearbleed, una vulnerabilidad crítica en el protocolo de seguridad de OpenSSL. “El golpe actual del bug es tan gran cosa como Hearbleed”, según dice Robert Graham de seguridad de erratas, un respetado investigador.
Hold your horses, Robert. Before we dive into dire warnings, let's focus on the positive side of this story. Numerous Linux variants have already pushed out patches that plug Shellshock, including Red Hat, Fedora, CentOS, Ubuntu, and Debian, and big Internet services like Akamai are already on the case.
Para el carro, Robert. Antes de sumergirnos en advertencias serias, vamos a centrarnos en el lado positivo de esta historia. Numerosas variantes de Linux ya han sacado los parches que corrigen Shellshock, incluyendo Red Hat, Fedora, CentOS, Ubuntu, y Debian y grandes servicios de Internet, como Akamai, ya están en el asunto.
But Graham says Shellshock's danger will nevertheless linger for years, partly because "an enormous percentage of software interacts with the shell in some fashion"—essentially making it impossible to know exactly how much software is vulnerable—and partly because of the vulnerability's age.
Pero Graham dice que el peligro de Shellshock será, sin embargo, persistir por años, en parte debido a "un enorme porcentaje de interacciones de software con el shell de alguna manera" –esencialmente, haciendo imposible saber con exactitud la cantidad de software que es vulnerable- y, en parte, por la edad de la vulnerabilidad.
"Unlike Heartbleed, which only affected a specific version of OpenSSL, this bash bug has been around for a long, long time. That means there are lots of old devices on the network vulnerable to this bug. The number of systems needing to be patched, but which won't be, is much larger than Heartbleed."
"A diferencia de Heartbleed, que sólo afectó a una versión específica de OpenSSL, este fallo de bash ha existido hace mucho, mucho tiempo. Eso significa que hay un montón de dispositivos antiguos en la red vulnerables a este error. El número de sistemas que necesitan ser parcheados, pero que no lo serán, es mucho mayor que en el caso de Heartbleed ".
Now consider that more than two months after Heartbleed was disclosed, hundreds of thousands of systems remained vulnerable to the exploit.
Ahora pensemos que más de dos meses después de que Heartbleed fue revelado, cientos de miles de sistemas quedaron vulnerables al fallo.
No hay comentarios:
Publicar un comentario