ID de aviso vasco-sa-20140930-bash
Número de revisión 1.0
Fecha de lanzamiento 30 de septiembre de 2014 12:00 PM UTC + 1
Última actualización 17 de octubre de 2014 12:00 PM UTC + 1
Resumen
El 24 de septiembre de 2014, la fundación GNU anunció públicamente una vulnerabilidad en el shell GNU Bash. Bash es un shell de Unix desarrollado como parte del proyecto GNU como reemplazo del shell Bourne (sh). Se ha distribuido ampliamente como parte del sistema operativo GNU y es el shell predeterminado para Linux y OS X. La vulnerabilidad se conoce comúnmente como la vulnerabilidad "shellshock".
Muchos demonios de Internet, incluidos telnet, SSH y servidores web, invocan el shell Bash. El shell Bash utiliza variables de entorno para pasar información a los procesos que se generan a partir de ella. La vulnerabilidad permite a un atacante inyectar comandos arbitrarios en un shell Bash utilizando variables de entorno especialmente diseñadas.
El impacto específico de la vulnerabilidad depende del proceso que utiliza el shell Bash. En el peor de los casos, un atacante remoto no autenticado podría ejecutar comandos en un servidor afectado.
Productos impactados
Los siguientes productos y servicios de OneSpan se ven afectados por la vulnerabilidad:
- aXsGUARD Gatekeeper (todas las versiones)
- Servidor de federación IDENTIKEY (versiones 1.3, 1.4 y 1.5)
- MYDIGIPASS.COM
Descripción
El shell Bash utiliza variables de entorno para pasar información a los procesos que se generan a partir de ella. Las variables de entorno se pueden usar para almacenar definiciones de funciones. Dichas variables de entorno comienzan con “() {” y generalmente terminan con “};”.
Sin embargo, Bash ejecuta cualquier código en la variable de entorno después de la definición de la función. Esto permite a un atacante crear una definición de función como:
FUNCT = () {ignorar; }; eco shellshock
Esto provocaría que el código "echo shellshock" se ejecute cuando Bash procesa sus variables de entorno.
El impacto de esta vulnerabilidad en los productos OneSpan varía según el producto afectado y la naturaleza del uso del producto.
A esta vulnerabilidad se le han asignado los ID de vulnerabilidad y exposición común (CVE) CVE-2014-6271 y CVE-2014-7169.
Puntuación de gravedad
Las tablas a continuación indican la puntuación de vulnerabilidad CVSS 2.0.
1) Vectores de ataque que no requieren autenticación
| Puntuación base de CVSS: 7.5 | |||||
| Vector de acceso | Complejidad de acceso |
Autenticación |
Impacto de confidencialidad | Impacto de integridad | Impacto de disponibilidad |
| Red | Bajo | Ninguna | Parcial | Parcial | Parcial |
| Puntuación temporal de CVSS: 7.1 | ||
| Explotabilidad | Nivel de remediación | Informar confianza |
| Funcional | No definida | Confirmado |
2) Vectores de ataque que requieren autenticación
| Puntuación base de CVSS: 6.5 | |||||
| Vector de acceso | Complejidad de acceso | Autenticación | Impacto de confidencialidad | Impacto de integridad | Impacto de disponibilidad |
| Red | Bajo | Soltero | Parcial | Parcial | Parcial |
| Puntuación temporal de CVSS: 6.2 | ||
| Explotabilidad | Nivel de remediación | Informar confianza |
| Funcional | No definida | Confirmado |
Arreglos de productos
OneSpan ha parcheado los siguientes productos:
- aXsGUARD Gatekeeper 7.6.5, 7.7.0, 7.7.1, 7.7.2 y 7.7.3
OneSpan ha parcheado el siguiente servicio:
- MYDIGIPASS.COM
OneSpan lanzará parches para los siguientes productos:
- IDENTIKEY Federation Server 1.4.4 y 1.5.3, que se lanzará el 22 de octubre de 2014
Ubicación
Para los productos aXsGUARD Gatekeeper:
OneSpan ya ha implementado parches para los productos aXsGUARD Gatekeeper a través del servicio de actualización automática. Los clientes que no permiten que su sistema reciba actualizaciones a través de este servicio deben comunicarse con OneSpan para obtener instrucciones sobre cómo obtener el parche.
Para otros productos:
Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas.
Referencia
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
Nota legal
MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.
Vulnerabilidad de inyección de comando variable en el entorno GNU Bash en el producto OneSpan s