I torsdags rapporterades en bugg i kommandotolken bash som klassas som allvarligare än den så kallade heartbleedbuggen.
Den här sårbarheten har funnits i 22 år (!!) och det som gör den så allvarlig är att man kan använda den för att köra exekverbar kod. Buggen har döpts till Shellshock på grund av hur bash hanterar miljövariabler.

Omfattningen av problemen som uppstår av buggen är mycket stor och scriptspråk som t ex PHP påverkas indirekt beroende på hur koden är skriven. Exempel på funktioner i PHP som påverkas är system( ), passthru( ) och Shell_exec( ).
Även CGI och vanliga shellscript kan vara påverkat direkt eller indirekt beroende på hur koden ser ut.

Det finns en patch mot buggen men det som ställer till det är att den uppdatering som kom i torsdags var ofullständig. Därför kom det ytterligare en uppdatering i fredags.

För att kontrollera om du är påverkad eller inte kan du köra ett enkelt kommando:

Detta kommando ska generera texten “this is a test”, får du istället upp texten “vulnerable” är du påverkad och då ska du omedelbart patcha systemet.

Ballous delade och egna maskiner är sedan i fredags fullt patchade, så har du t ex ett Webbhotellspaket Linux eller våra mailtjänster så är allt OK! Även för er kunder som har vår patchhanteringstjänst så är allt klart och OK.

För er som behöver patcha, här följer information om hur man patchar några vanliga Linuxdistributioner:

Ubuntu 12.04, 14.04 och Debian 7:

CentOS 5 & 6:
>

Debian 6:
Då supporten på Debian 6 tog slut den 31/5 2014 bör man lägga in och använda Long Term Support

Lägg in följande i /etc/apt/apt.conf.d/squeezelts.list:

Lägg in följande i /etc/apt/apt.conf.d/50squeezelts

Kör sedan

För mer information se Red Hat’s säkerhetsinlägg och även CVE-2014-6271

/Daniel Gullin – Teknikschef