Shellshock , también conocido como Bashdoor , [1] es una familia de errores de seguridad [2] en el shell de Unix Bash , el primero de los cuales fue revelado el 24 de septiembre de 2014. Shellshock podría permitir que un atacante hiciera que Bash ejecutara comandos arbitrarios y ganara acceso no autorizado [3] a muchos servicios de Internet, como servidores web, que utilizan Bash para procesar solicitudes.
Identificador (es) CVE | CVE - 2014-6271 (inicial), CVE - 2014-6277 , CVE - 2014-6278 , CVE - 2014-7169 , CVE - 2014-7186 , CVE - 2014-7187 |
---|---|
Fecha descubierta | 12 de septiembre de 2014 |
Fecha parcheada | 24 de septiembre de 2014 |
Descubridor | Stéphane Chazelas |
Software afectado | Bash (1.0.3–4.3) |
El 12 de septiembre de 2014, Stéphane Chazelas informó al encargado de mantenimiento de Bash, Chet Ramey [1], de su descubrimiento del error original, al que llamó "Bashdoor". Trabajando con expertos en seguridad, desarrolló un parche [1] (solución) para el problema, al que para entonces se le había asignado el identificador de vulnerabilidad CVE - 2014-6271 . [4] La existencia del error se anunció al público el 24 de septiembre de 2014, cuando las actualizaciones de Bash con la corrección estaban listas para su distribución. [5]
El error que Chazelas descubrió hizo que Bash ejecutara comandos involuntariamente cuando los comandos se concatenan al final de las definiciones de función almacenadas en los valores de las variables de entorno . [1] [6] A los pocos días de su publicación, se descubrieron una variedad de vulnerabilidades relacionadas ( CVE - 2014-6277 , CVE- 2014-6278 , CVE- 2014-7169 , CVE- 2014-7186 y CVE- 2014-7187 ) . Ramey los abordó con una serie de parches adicionales. [7] [8]
Los atacantes explotaron Shellshock pocas horas después de la divulgación inicial creando botnets de computadoras comprometidas para realizar ataques distribuidos de denegación de servicio y escaneo de vulnerabilidades . [9] [10] Las empresas de seguridad registraron millones de ataques y sondeos relacionados con el error en los días posteriores a la divulgación. [11] [12]
Debido al potencial de comprometer millones de sistemas sin parches, Shellshock se comparó con el error Heartbleed en su gravedad. [3] [13]
Fondo
El error Shellshock afecta a Bash , un programa que utilizan varios sistemas basados en Unix para ejecutar líneas de comando y scripts de comando. A menudo se instala como la interfaz de línea de comandos predeterminada del sistema . El análisis del historial del código fuente de Bash muestra que el error se introdujo el 5 de agosto de 1989 y se publicó en la versión 1.03 de Bash el 1 de septiembre de 1989. [14] [15] [16]
Shellshock es una vulnerabilidad de escalada de privilegios que ofrece una forma para que los usuarios de un sistema ejecuten comandos que no deberían estar disponibles para ellos. Esto sucede a través de la función de "exportación de funciones" de Bash, mediante la cual los scripts de comando creados en una instancia en ejecución de Bash se pueden compartir con instancias subordinadas. [17] Esta función se implementa codificando los scripts dentro de una tabla que se comparte entre las instancias, conocida como lista de variables de entorno . Cada nueva instancia de Bash escanea esta tabla en busca de scripts codificados, ensambla cada uno en un comando que define ese script en la nueva instancia y ejecuta ese comando. [18] La nueva instancia asume que las secuencias de comandos que se encuentran en la lista provienen de otra instancia, pero no puede verificar esto, ni puede verificar que el comando que ha construido es una definición de secuencia de comandos formada correctamente. Por lo tanto, un atacante puede ejecutar comandos arbitrarios en el sistema o explotar otros errores que puedan existir en el intérprete de comandos de Bash, si el atacante tiene una forma de manipular la lista de variables de entorno y luego hacer que Bash se ejecute.
La presencia del error se anunció al público el 24 de septiembre de 2014, cuando las actualizaciones de Bash con la corrección estaban listas para su distribución, [5] aunque las computadoras tardaron algún tiempo en actualizarse para cerrar el posible problema de seguridad.
Informes de ataques
Una hora después del anuncio de la vulnerabilidad Bash, hubo informes de máquinas comprometidas por el error. Para el 25 de septiembre de 2014, los atacantes estaban utilizando botnets basadas en computadoras comprometidas con exploits basados en el error para ataques distribuidos de denegación de servicio (DDoS) y escaneo de vulnerabilidades . [9] [10] [19] Kaspersky Labs informó que las máquinas comprometidas en un ataque, apodado "Gracias-Rob", estaban realizando ataques DDoS contra tres objetivos, que no identificaron. [9] El 26 de septiembre de 2014, se informó de una botnet relacionada con Shellshock denominada "wopbot", que se estaba utilizando para un ataque DDoS contra Akamai Technologies y para escanear el Departamento de Defensa de los Estados Unidos . [10]
El 26 de septiembre, la firma de seguridad Incapsula notó 17.400 ataques en más de 1.800 dominios web, originados en 400 direcciones IP únicas, en las 24 horas anteriores; El 55% de los ataques procedían de China y Estados Unidos. [11] Para el 30 de septiembre, la empresa de rendimiento de sitios web CloudFlare dijo que estaba rastreando aproximadamente 1,5 millones de ataques y sondeos por día relacionados con el error. [12]
El 6 de octubre, se informó ampliamente que Yahoo! Los servidores se vieron comprometidos en un ataque relacionado con el problema de Shellshock. [20] [21] Sin embargo, al día siguiente, se negó que hubiera sido Shellshock quien específicamente había permitido estos ataques. [22]
Vectores de explotación específicos
- Servidor web basado en CGI
- Cuando un servidor web usa Common Gateway Interface (CGI) para manejar una solicitud de documento, copia cierta información de la solicitud en la lista de variables de entorno y luego delega la solicitud a un programa controlador. Si el controlador es un script de Bash, o si ejecuta uno, por ejemplo, usando la llamada al sistema (3) , Bash recibirá las variables de entorno pasadas por el servidor y las procesará como se describe arriba. Esto proporciona un medio para que un atacante active la vulnerabilidad Shellshock con una solicitud de documento especialmente diseñada. [6]
- La documentación de seguridad para el servidor web Apache ampliamente utilizado dice: "Los scripts CGI pueden ... ser extremadamente peligrosos si no se revisan cuidadosamente", [23] y en su lugar se suelen utilizar otros métodos para manejar las solicitudes del servidor web. Hay una serie de servicios en línea que intentan probar la vulnerabilidad contra servidores web expuestos a Internet. [ cita requerida ]
- Servidor OpenSSH
- OpenSSH tiene una función "ForceCommand", donde se ejecuta un comando fijo cuando el usuario inicia sesión, en lugar de simplemente ejecutar un shell de comandos sin restricciones. El comando fijo se ejecuta incluso si el usuario especificó que se debe ejecutar otro comando; en ese caso, el comando original se coloca en la variable de entorno "SSH_ORIGINAL_COMMAND". Cuando el comando forzado se ejecuta en un shell Bash (si el shell del usuario está configurado en Bash), el shell Bash analizará la variable de entorno SSH_ORIGINAL_COMMAND en el inicio y ejecutará los comandos incrustados en él. El usuario ha utilizado su acceso de shell restringido para obtener acceso de shell sin restricciones, utilizando el error Shellshock. [24]
- Clientes DHCP
- Algunos clientes DHCP también pueden pasar comandos a Bash; un sistema vulnerable podría ser atacado al conectarse a una red Wi-Fi abierta. Un cliente DHCP normalmente solicita y obtiene una dirección IP de un servidor DHCP, pero también se le pueden proporcionar una serie de opciones adicionales. Un servidor DHCP malintencionado podría proporcionar, en una de estas opciones, una cadena diseñada para ejecutar código en una estación de trabajo o computadora portátil vulnerable. [13]
- Servidor de Qmail
- Cuando se usa Bash para procesar mensajes de correo electrónico (por ejemplo, a través de la tubería .forward o qmail-alias), el servidor de correo qmail pasa la entrada externa de una manera que puede explotar una versión vulnerable de Bash. [25] [26]
- Shell restringido de IBM HMC
- El error se puede aprovechar para obtener acceso a Bash desde el shell restringido de IBM Hardware Management Console , [27] una pequeña variante de Linux para administradores de sistemas. IBM lanzó un parche para resolver esto. [28]
Vulnerabilidades reportadas
Descripción general
Se advirtió al responsable de Bash sobre el primer descubrimiento del error el 12 de septiembre de 2014; pronto siguió una solución. [1] Se informó a algunas empresas y distribuidores antes de que el asunto se hiciera público el 24 de septiembre de 2014 con el identificador CVE CVE - 2014-6271 . [4] [5] Sin embargo, después del lanzamiento del parche hubo informes posteriores de vulnerabilidades diferentes, pero relacionadas. [29]
El 26 de septiembre de 2014, dos colaboradores de código abierto, David A. Wheeler y Norihiro Tanaka, notaron que había problemas adicionales, incluso después de aplicar parches a los sistemas con los parches disponibles más recientemente. En un correo electrónico dirigido a la lista oss-sec y la lista de errores de bash, Wheeler escribió: "Este parche simplemente continúa el trabajo 'whack-a-mole' de corregir los errores de análisis que comenzaron con el primer parche. El analizador de Bash seguramente [para ] tienen muchas muchas otras vulnerabilidades ". [30] Sin embargo, este fue más bien un razonamiento general sin presentar ejemplos de explotación e implicaba restringir la funcionalidad de Bash con el efecto de que algunos scripts de Bash ya no funcionarán, incluso si no pretenden dañar a otros usuarios.
El 27 de septiembre de 2014, Michał Zalewski de Google Inc. anunció su descubrimiento de otras vulnerabilidades de Bash, [7] una basada en el hecho de que Bash normalmente se compila sin aleatorización del diseño del espacio de direcciones . [31] El 1 de octubre, Zalewski dio a conocer los detalles de los errores finales y confirmó que un parche de Florian Weimer de Red Hat publicado el 25 de septiembre sí los previene. Lo ha hecho usando una técnica de fuzzing con la ayuda de una utilidad de software conocida como american fuzzy lop . [32]
Informe inicial (CVE-2014-6271)
Esta forma original de la vulnerabilidad ( CVE - 2014-6271 ) involucra una variable de entorno especialmente diseñada que contiene una definición de función exportada, seguida de comandos arbitrarios. Bash ejecuta incorrectamente los comandos finales cuando importa la función. [33] La vulnerabilidad se puede probar con el siguiente comando:
env x = '() {:;}; echo vulnerable ' bash -c "echo esto es una prueba"
En los sistemas afectados por la vulnerabilidad, los comandos anteriores mostrarán la palabra "vulnerable" como resultado de que Bash ejecutó el comando "echo vulnerable" , que estaba incrustado en la variable de entorno especialmente diseñada llamada "x" . [8] [34]
CVE-2014-6277
Descubierto por Michał Zalewski , [7] [31] [35] la vulnerabilidad CVE - 2014-6277 , que se relaciona con el análisis de las definiciones de funciones en variables de entorno por Bash, puede causar un error de segmentación . [36]
CVE ‑ 2014‑6278
También descubierto por Michał Zalewski , [36] [37] este error ( CVE - 2014-6278 ) se relaciona con el análisis de definiciones de funciones en variables de entorno por Bash.
CVE-2014-7169
El mismo día que se publicó la vulnerabilidad original, Tavis Ormandy descubrió este error relacionado ( CVE - 2014-7169 ), [24] que se demuestra en el siguiente código:
env X = '() {(a) => \' bash -c "fecha de eco" ; eco de gato
En un sistema vulnerable, esto ejecutaría el comando "fecha" involuntariamente. [24]
A continuación, se muestra un ejemplo de un sistema que tiene un parche para CVE-2014-6271 pero no CVE-2014-7169:
$ X = '() {(a) => \' bash -c "echo date" bash: X: línea 1: error de sintaxis cerca de un token inesperado `= ' bash: X: línea 1:`' bash: función de importación de error definición de 'X' $ cat echo Vie 26 Sep 01:37:16 UTC 2014
El sistema muestra errores de sintaxis, notificando al usuario que se ha impedido CVE-2014-6271, pero aún escribe un archivo llamado 'echo', en el directorio de trabajo, que contiene el resultado de la llamada 'date'.
Un sistema parcheado para CVE-2014-6271 y CVE-2014-7169 simplemente hará eco de la palabra "fecha" y el archivo "eco" no se creará, como se muestra a continuación:
$ X = '() {(a) => \' bash -c "fecha de eco" fecha $ cat echo cat: echo: No existe tal archivo o directorio
CVE-2014-7186
Florian Weimer y Todd Sabin encontraron este error ( CVE - 2014-7186 ), [8] [32] que se relaciona con un error de acceso a la memoria fuera de los límites en el código del analizador Bash. [38]
Un ejemplo de la vulnerabilidad, que aprovecha el uso de varias declaraciones "<< EOF" ( "documentos aquí" anidados ):
bash -c 'true << EOF << EOF << EOF << EOF << EOF << EOF << EOF << EOF << EOF << EOF << EOF << EOF << EOF << EOF' || echo "CVE-2014-7186 vulnerable, redir_stack"
Un sistema vulnerable hará eco del texto "CVE-2014-7186 vulnerable, redir_stack".
CVE-2014-7187
También encontrado por Florian Weimer, [8] CVE - 2014-7187 es un error de uno en uno en el código del analizador Bash, que permite el acceso a la memoria fuera de los límites. [39]
Un ejemplo de la vulnerabilidad, que aprovecha el uso de múltiples declaraciones "hecho":
( para x en { 1 ..200 } ; hacer eco "para x $ x en; hacer:" ; hecho ; para x en { 1 ..200 } ; hacer eco hecho ; hecho ) | bash || echo "CVE-2014-7187 vulnerable, word_lineno"
Un sistema vulnerable se hará eco del texto "CVE-2014-7187 vulnerable, word_lineno". Esta prueba requiere un caparazón que admita la expansión de la abrazadera . [40]
Parches
Hasta el 24 de septiembre de 2014, el mantenedor de Bash, Chet Ramey, proporcionó una versión de parche bash43-025 de Bash 4.3 que abordaba CVE-2014-6271, [41] que ya estaba empaquetado por los encargados de la distribución. El 24 de septiembre, siguió bash43-026, que se dirigió a CVE-2014-7169. [42] Luego se descubrió CVE-2014-7186. Florian Weimer de Red Hat publicó un código de parche para esto "extraoficialmente" el 25 de septiembre, [43] que Ramey incorporó a Bash como bash43-027. [44] [45] —Estos parches solo proporcionaron código , útil solo para aquellos que saben cómo compilar (" reconstruir ") un nuevo archivo ejecutable binario de Bash a partir del archivo de parche y los archivos de código fuente restantes.
Al día siguiente, Red Hat presentó oficialmente las actualizaciones correspondientes para Red Hat Enterprise Linux , [46] [47] después de otro día para Fedora 21 . [48] Canonical Ltd. presentó actualizaciones para sus versiones de soporte a largo plazo de Ubuntu el sábado 27 de septiembre; [49] el domingo, hubo actualizaciones para SUSE Linux Enterprise . [50] El siguiente lunes y martes a fin de mes, aparecieron las actualizaciones de Mac OS X. [51] [52]
El 1 de octubre de 2014, Michał Zalewski de Google Inc. finalmente declaró que el código de Weimer y bash43-027 habían solucionado no solo los tres primeros errores, sino incluso los tres restantes que se publicaron después de bash43-027, incluidos sus propios dos descubrimientos. [32] Esto significa que después de las actualizaciones de distribución anteriores, no se han requerido otras actualizaciones para cubrir los seis problemas. [47]
Todos ellos también se han cubierto para IBM Hardware Management Console . [28]
Referencias
- ^ a b c d e Perlroth, Nicole (25 de septiembre de 2014). "Los expertos en seguridad esperan que el error de software 'Shellshock' en Bash sea significativo" . New York Times . Consultado el 25 de septiembre de 2014 .
- ^ Aunque se describe en algunas fuentes como un "virus", Shellshock es, en cambio, un defecto de diseño en un programa que viene con algunos sistemas operativos. Ver => Staff (25 de septiembre de 2014). "¿Qué afecta el error" Shellshock "?" . El Mac seguro . Consultado el 27 de septiembre de 2014 .
- ^ a b Seltzer, Larry (29 de septiembre de 2014). "Shellshock hace que Heartbleed parezca insignificante" . ZDNet . Consultado el 29 de septiembre de 2014 .
- ^ a b Florian Weimer (24 de septiembre de 2014). "oss-sec: Re: CVE-2014-6271: ejecución remota de código a través de bash" . Seclists.org . Consultado el 1 de noviembre de 2014 .
- ^ a b c Florian Weimer (24 de septiembre de 2014). "oss-sec: Re: CVE-2014-6271: ejecución remota de código a través de bash" . Seclists.org . Consultado el 1 de noviembre de 2014 .
- ^ a b Leyden, John (24 de septiembre de 2014). "Patch Bash NOW: error 'Shell Shock' explota OS X, sistemas Linux completamente abiertos" . El registro . Consultado el 25 de septiembre de 2014 .
- ^ a b c Saarinen, Juha (29 de septiembre de 2014). "Más fallas hacen que el parche Shellshock sea ineficaz" . iTnews . Consultado el 29 de septiembre de 2014 .
- ^ a b c d Vaughan-Nichols, Steven (27 de septiembre de 2014). "Shellshock: mejores parches 'bash' ahora disponibles" . ZDNet . Consultado el 29 de septiembre de 2014 .
- ^ a b c Greenberg, Andy (25 de septiembre de 2014). "Los piratas informáticos ya están utilizando el error Shellshock para lanzar ataques de botnet" . Cableado . Consultado el 28 de septiembre de 2014 .
- ^ a b c Saarinen, Juha (26 de septiembre de 2014). "Primera botnet Shellshock ataca Akamai, redes del Departamento de Defensa de EE. UU . " . iTnews . Consultado el 26 de septiembre de 2014 .
- ^ a b Perlroth, Nicole (26 de septiembre de 2014). "Las empresas se apresuran a corregir el error del software Shellshock cuando los piratas informáticos lanzan miles de ataques" . New York Times . Consultado el 29 de septiembre de 2014 .
- ^ a b Strohm, Chris; Robertson, Jordan (30 de septiembre de 2014). "Shellshock atrae ataques de piratas informáticos, carrera de chispas para parchear el error" . Businessweek . Consultado el 1 de octubre de 2014 .
- ^ a b Cerrudo, Cesar (30 de septiembre de 2014). "Por qué el error Shellshock es peor que Heartbleed" . Revisión de tecnología del MIT . Consultado el 1 de octubre de 2014 .
- ^ Fox, Brian (21 de marzo de 1990). "Bash 1.05 ChangeLog" . Consultado el 14 de octubre de 2014 .
- ^ Chazelas, Stéphane (10 de octubre de 2014). "cuando se introdujo shellshock" . Stéphane Chazelas y Chet Ramey confirman la fecha de introducción de la vulnerabilidad en el canal de comunicación oficial de Bash . Archivado desde el original el 20 de diciembre de 2016 . Consultado el 14 de octubre de 2014 .
- ^ Chazelas, Stéphane (25 de septiembre de 2014). "¿Cuándo se introdujo el error shellshock (CVE-2014-6271 / 7169) y cuál es el parche que lo corrige por completo?" .
- ^ "Manual de referencia de Bash: funciones de Shell" . Consultado el 2 de octubre de 2014 .
- ^ "Código fuente de Bash 4.3, archivo variables.c, líneas 315-388" . Consultado el 2 de octubre de 2014 .
- ^ Varios (26 de septiembre de 2014). "Los ataques web se basan en el error Shellshock" . BBC . Consultado el 26 de septiembre de 2014 .
- ^ Boren, Zachary (6 de octubre de 2014). "Shellshock: los piratas informáticos rumanos están accediendo a los servidores de Yahoo, afirma el experto en seguridad" . Independiente . Consultado el 7 de octubre de 2014 .
- ^ "¡Yahoo! Shellshocked Like Ninja Turtles!" . Archivado desde el original el 9 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ Hanno Böck (7 de octubre de 2014). "Yahoo durch Shellshock angegriffen" . Golem - IT-News für Profis (en alemán) . Consultado el 30 de octubre de 2014 .
- ^ "Documentación de Apache HTTP Server 2.2: Consejos de seguridad" . Consultado el 2 de octubre de 2014 .
- ^ a b c Wolfgang Kandek (24 de septiembre de 2014). "Las leyes de las vulnerabilidades" . Qualys.com. Archivado desde el original el 3 de mayo de 2016 . Consultado el 26 de septiembre de 2014 .CS1 maint: bot: estado de URL original desconocido ( enlace )
- ^ "qmail es un vector para CVE-2014-6271 (bash shellshock)" , 27 de septiembre de 2014, Kyle George, lista de correo de qmail
- ^ "Otros defectos hacen que el parche Shellshock sea ineficaz" , 29 de septiembre de 2014, Juha Saarinen, itnews.com.au
- ^ "IBM HMC es un vector para CVE-2014-6271 (bash" shellshock ")
- ^ a b "Boletín de seguridad: las vulnerabilidades en Bash afectan a DS8000 HMC (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278)" . IBM. 3 de octubre de 2014 . Consultado el 2 de noviembre de 2014 .
- ^ "Shellshock" . 13 de febrero de 2015 . Consultado el 17 de septiembre de 2016 .
- ^ Gallagher, Sean (26 de septiembre de 2014). "¿Aún más vulnerabilidades en bash? Shellshock se convierte en whack-a-mole" . Arstechnica . Consultado el 26 de septiembre de 2014 .
- ^ a b Staff (28 de septiembre de 2014). "Shellshock, Parte 3: Tres problemas de seguridad más en Bash (en alemán)" . Heise en línea . Consultado el 28 de septiembre de 2014 .
- ^ a b c "Bash bug: los otros dos RCE, o cómo eliminamos la corrección original (CVE-2014-6277 y '78)" . blog de lcamtuf . 1 de octubre de 2014 . Consultado el 8 de octubre de 2014 .
- ^ "Resumen de vulnerabilidad para CVE-2014-6271" . NIST. 4 de octubre de 2014 . Consultado el 8 de octubre de 2014 .
- ^ "Bash ataque de inyección de código de variables de entorno especialmente diseñado" . Seguridad de Red Hat . Consultado el 2 de octubre de 2014 .
- ^ Staff (27 de septiembre de 2014). "Resumen de vulnerabilidad del sistema nacional de concienciación cibernética para CVE-2014-6277" . Instituto Nacional de Estándares y Tecnología . Consultado el 28 de septiembre de 2014 .
- ^ a b Constatin, Lucian (29 de septiembre de 2014). "El parche mejorado aborda los nuevos vectores de ataque de errores de Shellshock Bash" . PC World . Consultado el 1 de octubre de 2014 .
- ^ Staff (30 de septiembre de 2014). "Resumen de vulnerabilidad del sistema nacional de concienciación cibernética para CVE-2014-6278" . Instituto Nacional de Estándares y Tecnología . Consultado el 1 de octubre de 2014 .
- ^ Staff (29 de septiembre de 2014). "Resumen de vulnerabilidad del sistema nacional de concienciación cibernética para CVE-2014-7186" . Instituto Nacional de Estándares y Tecnología . Consultado el 1 de octubre de 2014 .
- ^ Staff (29 de septiembre de 2014). "Resumen de vulnerabilidad del sistema nacional de concienciación cibernética para CVE-2014-7187" . Instituto Nacional de Estándares y Tecnología . Consultado el 1 de octubre de 2014 .
- ^ Ramey, Chet. "Re: CVE-2014-7187" . listas.gnu.org .
- ^ "INFORME DEL PARCHE DE BASH" . GNU.org . 12 de septiembre de 2014 . Consultado el 2 de noviembre de 2014 .
- ^ "INFORME DEL PARCHE DE BASH" . GNU.org . 25 de septiembre de 2014 . Consultado el 2 de noviembre de 2014 .
- ^ Weimer, Florian (25 de septiembre de 2014). "Re: CVE-2014-6271: ejecución remota de código mediante bash" . Proyecto Openwall . Consultado el 2 de noviembre de 2014 .
- ^ "INFORME DEL PARCHE DE BASH" . GNU.org . 25 de septiembre de 2014 . Consultado el 2 de noviembre de 2014 .
- ^ Gallagher, Sean (26 de septiembre de 2014). "Nuevo parche" Shellshock "se apresuró a resolver las lagunas en la primera solución [Actualizado]" . Consultado el 2 de noviembre de 2014 .
- ^ "Importante: actualización de seguridad de bash" . Sombrero rojo. 30 de septiembre de 2014 . Consultado el 2 de noviembre de 2014 .
- ^ a b "Vulnerabilidad de inyección de código Bash a través de variables de entorno especialmente diseñadas (CVE-2014-6271, CVE-2014-7169)" . Sombrero rojo. 2 de octubre de 2014 . Consultado el 2 de noviembre de 2014 .
- ^ "[SEGURIDAD] Actualización de Fedora 21: bash-4.3.25-2.fc21" . FedoraProject.org . 27 de septiembre de 2014 . Consultado el 2 de noviembre de 2014 .
- ^ "USN-2364-1: Bash vulnerabilidades" . Canonical Ltd. 27 de septiembre de 2014 . Consultado el 2 de noviembre de 2014 .
- ^ "Actualización de seguridad de SUSE: actualización de seguridad para bash" . OpenSUSE . 28 de septiembre de 2014 . Consultado el 2 de noviembre de 2014 .
- ^ Clover, Juli (29 de septiembre de 2014). "Apple lanza la actualización OS X Bash para corregir la falla de seguridad 'Shellshock' en Mavericks, Mountain Lion y Lion" . MacRumors.com . Consultado el 2 de octubre de 2014 .
- ^ Slivka, Eric (30 de septiembre de 2014). "Apple lanza OS X Yosemite Golden Master Candidate para desarrolladores [Actualización: también beta pública]" . MacRumors.com . Consultado el 2 de octubre de 2014 .
enlaces externos
- Base de datos nacional de vulnerabilidades del NIST y vulnerabilidades y exposiciones comunes de CVE
- CVE-2014-6271 - 20140924nist y 20140909cve (primer error)
- CVE-2014-6277 - 20140927nist y 20140909cve
- CVE-2014-6278 - 20140930nist y 20140909cve
- CVE-2014-7169 - 20140924nist y 20140924cve (segundo error)
- CVE-2014-7186 - 20140929nist y 20140925cve
- CVE-2014-7187 - 20140929nist y 20140925cve
- Bash código fuente del Proyecto GNU , incluye parches para vulnerabilidades conocidas (28 de septiembre de 2014)
- "Shellshock in the Wild", droppers de malware, shells y puertas traseras inversas, exfiltración de datos y DDoS en FireEye, Inc.
- Colección de ataques vistos en estado salvaje (29 de septiembre de 2014) en el Instituto SANS
- Alerta de seguridad para CVE-2014-7169 en Oracle
- "Corrección de VMware de la vulnerabilidad de inyección de código Bash a través de variables de entorno especialmente diseñadas" en VMware
- Base de datos de vulnerabilidades de Cyberwatch
- CVE-2014-6271
- CVE-2014-6277
- CVE ‑ 2014‑6278
- CVE-2014-7169
- CVE-2014-7186
- CVE-2014-7187
- Explotación de ShellShock con Metasploit Framework