La falla de seguridad llamada Bash permite tomar el control completo de los sistemas con Linux

Captura de pantalla de una sesión Bash
Visto en Wikipedia

El mundo de la seguridad informática en Internet sufre una nueva desagradable sorpresa, aún cuando hay muchos websites cuyos servidores continúan afectados por Heartbleed, la vulnerabilidad que afecta a las librerías OPEN SSL, los servidores se enfrentan a una amenaza mayor que Heartbleed. Recordemos que Heartbleed abrió el debate sobre las necesidades de este software crítico.

Un fallo de seguridad conocido como Bash compromete los datos privados y permite ejecutar malware en sistemas Linux, Unix y Mac OS X.

Bash (Bourne again shell) es un programa informático cuya función consiste en interpretar órdenes. Es el intérprete de comandos por defecto en la mayoría de las distribuciones de GNU con Linux.

Muy lamentablemente los usuarios deben esperar a que se anuncien actualizaciones de seguridad. 

Nuevo error de software "Bash" podría representar amenaza mayor que "Heartbleed"
Por Jim Finkle para Reuters.

BOSTON (Reuters) - Una falla de seguridad recientemente descubierta en un software de Linux ampliamente utilizado, conocido como "Bash", podría representar una mayor amenaza a los usuarios de computadores que el error "Heartbleed" que surgió en abril, advirtieron el miércoles expertos en ciberseguridad.

Bash es el software que se usa para controlar la línea de comandos en muchos computadores que funcionan con Linux. Los piratas informáticos podrían explotar una falla en Bash para tomar el control completo de un sistema atacado, dijeron expertos en seguridad.

El error "Heartbleed" permitió a los piratas informáticos espiar en computadores, pero no tomar el control de ellos, según Dan Guido, presidente ejecutivo de la firma de seguridad Trails of Bits.

"El método de explotar este tema también es mucho más simple. Basta con copiar y pegar una línea de código y obtener buenos resultados", sostuvo.

Guido dijo que está considerando sacar de línea a los servidores no esenciales de su compañía para protegerlos de ataques mediante el error Bash hasta que puedan aplicar un parche al software que corrija la falla.

Tod Beardsley, administrador de ingeniería en la firma de ciberseguridad Rapid7, advirtió que el error tenía una nota de gravedad "10", lo que significa que tiene un impacto máximo, y una calificación "baja" en complejidad de explotación, lo que significa que es relativamente fácil de utilizar por piratas informáticos para lanzar ataques.

"Al usar esta vulnerabilidad, los atacantes potencialmente pueden tomar el control del sistema operativo, acceder a información confidencial, hacer cambios, etc", dijo Beardsley. "Cualquiera con sistemas que ocupen Bash deben aplicar el parche inmediatamente", agregó.

"Heartbleed", descubierto en abril, es un error en un software cifrado de código abierto llamado OpenSSL.

La falla puso en riesgo los datos de millones de personas, debido a que OpenSSL es utilizado en cerca de dos tercios de todos los sitios de internet. También obligó a una decena de compañías de tecnología a lanzar parches de seguridad para cientos de productos que usan OpenSSL. / Por Jim Finkle para Reuters. (Reporte de Jim Finkle; Editado en Español por Ricardo Figueroa).--