Actualizar bash en ubuntu 13.04 o 13.10

Debido al reciente bug encontrado en el bash de los sistemas basados en UNIX, es necesario realizar la actualización del bash para estar protegidos, para lo cual se han publicado varios parches que corrigen el bug o parcialmente lo corrigen.

Desafortunadamente para los usuarios de ubuntu con versiones sin soporte no es fácil la actualización, ya que el parche sólo está disponible para las versiones 10.04, 12.04 y 14.04. Por lo que sólo nos queda la opción de utilizar algún paquete de una de estas versiones.

Para ello en mi caso realicé algunos pequeños cambios para poder actualizar desde los repositorios oficiales, simplemente cambiando el nombre de la distribución, pero como el cambio tenía que replicarse en varios servidores y algunos de ellos ya apuntabas a old-releases, me di a la tarea de realizar el siguiente script:

#!/bin/bash
DISTRIB=`lsb_release -cs`
sudo cp /etc/apt/sources.list /etc/apt/sources.list.backup
if grep -q 'old-releases' /etc/apt/sources.list; then
 echo "old-releases found."
 sudo sed -i 's/old-releases/us.archive/g' /etc/apt/sources.list
fi
echo "Upgrading bash..."
sudo sed -i 's/'$DISTRIB'/trusty/g' /etc/apt/sources.list
sudo apt-get update
sudo apt-get install --only-upgrade bash
sudo cp /etc/apt/sources.list.backup /etc/apt/sources.list
sudo apt-get update
echo "Upgrade bash finish."

Copia el código anterior, guardalo en un archivo y establece los permisos de ejecución. Después abre el bash para actualizar el bash ejecutando el archivo generado. Una vez finalizado es necesario corroborar que nuestro sistema ya no es vulnerable, para ello pueden copiar el siguiente script tomado de github:

#!/bin/bash
r=`x="() { :; }; echo x" bash -c ""`
if [ -n "$r" ]; then
 echo -e '33[91mVulnerable to CVE-2014-6271 (original shellshock)33[39m'
else
 echo -e '33[92mNot vulnerable to CVE-2014-6271 (original shellshock)33[39m'
fi
cd /tmp;rm echo 2>/dev/null
X='() { function a a>\' bash -c echo 2>/dev/null > /dev/null
if [ -e echo ]; then
 echo -e "33[91mVulnerable to CVE-2014-7169 (taviso bug)33[39m"
else
 echo -e "33[92mNot vulnerable to CVE-2014-7169 (taviso bug)33[39m"
fi
bash -c "true $(printf '<<EOF %.0s' {1..16})" 2>/dev/null
if [ $? != 0 ]; then
 echo -e "33[91mVulnerable to CVE-2014-7186 (redir_stack bug)33[39m"
else
 echo -e "33[92mNot vulnerable to CVE-2014-7186 (redir_stack bug)33[39m"
fi
bash -c "`for i in {1..200}; do echo -n "for x$i in; do :;"; done; for i in {1..200}; do echo -n "done;";done`" 2>/dev/null
if [ $? != 0 ]; then
 echo -e "33[91mVulnerable to CVE-2014-7187 (nested loops off by one)33[39m"
else
 echo -e "33[96mTest for CVE-2014-7187 not reliable without address sanitizer33[39m"
fi
r=`a="() { echo x;}" bash -c a 2>/dev/null`
if [ -n "$r" ]; then
 echo -e "33[93mVariable function parser still active, likely vulnerable to yet unknown parser bugs like CVE-2014-6277 (lcamtuf bug)33[39m"
else
 echo -e "33[92mVariable function parser inactive, likely safe from unknown parser bugs33[39m"
fi

Es recomendable que realicen la actualización nuevamente dentro de unos días, ya que es sabido que el problema no esta solucionado al 100%, por lo que recomiendo que entren al sitio oficial en github para que descarguen algún nuevo script que revise nuevas vulnerabilidades.

También pueden ejecutar el script de comprobación antes de realizar la actualización para corroborar que su bash es vulnerable y después de aplicada la actualización ya no lo es.

Si hubo algún problema con la actualización del repositorio o el reemplazo de cadenas, no se preocupen, al inicio del script se está realizando una copia del archivo original /etc/apt/sources.list como /etc/apt/sources.list.backup

También pueden consultar la siguiente liga para revisar la vulnerabilidad sobre sus sitios web:

http://shellshock.brandonpotter.com/

Referencias:

https://github.com/hannob/bashcheck/blob/master/bashcheck

http://serverfault.com/questions/631235/what-is-a-recommended-way-to-patch-the-shellshock-bash-bug-on-an-unsupported-ubu

Published in: on octubre 1, 2014 at 12:34 pm  Comments (1)  
Tags: , , ,

The URI to TrackBack this entry is: https://oscarif.wordpress.com/2014/10/01/actualizar-bash-en-ubuntu-13-04-o-13-10/trackback/

RSS feed for comments on this post.

One CommentDeja un comentario


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: