Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

¿Qué es Shellshock? – Definición de Krypton Solid

Shellshock es el nombre común de una vulnerabilidad de codificación que se encuentra en la interfaz de usuario del shell Bash que afecta a los sistemas operativos basados ​​en Unix, incluidos Linux y Mac OS X, y permite a los atacantes obtener de forma remota el control completo de un sistema.

Descubierta por Stéphane Chazelas en septiembre de 2014, la vulnerabilidad, también conocida como CVE-2014-6271 y CVE-2014-7169, existía desde hacía más de 20 años. Shellshock está presente en todas las versiones de shell hasta la 4.3.

La falla de Shellshock puede explotarse sin ninguna autenticación agregando código malicioso arbitrario al final de una función Bash específicamente diseñada. Esta técnica podría permitir que un atacante obtenga acceso de línea de comandos a un sistema, lo que a menudo da como resultado un acceso sin restricciones para ejecutar programas, filtrar la memoria en busca de datos confidenciales o facilitar un gusano que se propaga automáticamente.

La mayoría de los proveedores de sistemas operativos y servidores afectados han publicado actualizaciones de software que corrigen la vulnerabilidad de Shellshock. Existe una variedad de herramientas para verificar si un sistema se ve afectado por Shellshock o si un parche ha resuelto con éxito el problema. Las organizaciones deben usar técnicas de monitoreo de registros para detectar evidencia de intento de explotación de Shellshock; dicha carga útil se entrega a través de una URL o un encabezado HTTP, por lo que dejaría evidencia.

La base de datos nacional de vulnerabilidades de US-CERT calificó la gravedad de la falla como 10.0. Se ha comparado con la vulnerabilidad Heartbleed en gran parte debido a su clasificación de gravedad.

Esto se actualizó por última vez en Diciembre de 2014

Continuar leyendo sobre Shellshock

También te puede interesar...

¿Nimble deduplica? – Sopa de almacenamiento

El jueves, Nimble Storage salió de la clandestinidad con un sistema de almacenamiento que, según los ejecutivos de la startup, combina el almacenamiento primario con la deduplicación para la copia de seguridad en el mismo

Cómo virtualizar apps con VMware ThinApp, paso a paso

Al igual que algunos productos de virtualización de aplicaciones de la competencia, VMware ThinApp se basa en los conceptos de diferenciación y empaquetado de aplicaciones. Los pasos reales que usa para virtualizar aplicaciones varían ligeramente

IoT, wearables y robots listos para despegar

Entonces, ¿qué se dio a conocer en el Salón Internacional de Electrónica de Consumo (CES) 2015 esta semana? Bien conectado todo, para empezar: los objetos sensorizados y los dispositivos inteligentes iban desde automóviles autónomos hasta

Lo que podemos aprender del ataque de la botnet Mirai

Recientemente se lanzó un ataque de botnet Mirai de denegación de servicio distribuido (DDoS). Más de 100.000 dispositivos con dirección IP fueron secuestrados para apuntar a Dyn, que proporciona el sistema de nombres de dominio

¿Qué es la mensajería de dispositivos de Amazon?

Amazon Device Messaging (ADM) es una herramienta de servicios para desarrolladores de Amazon que permite a un desarrollador enviar notificaciones automáticas a los dispositivos nativos del usuario final que ejecutan una aplicación móvil, como un

¿Qué es FaaS (Framework as a Service)?

FaaS (framework as a service) es una oferta que se ubica entre SaaS (software como servicio) y PaaS (plataforma como servicio). Un marco de software ofrecido por un proveedor de servicios se puede personalizar fácilmente

El rol cambiante del diseño, el hardware y la TI

Nota del editor La infraestructura del centro de datos ahora se extiende más allá de los muros de ladrillo y mortero hasta las nubes públicas, donde ahora se alojan datos que antes se consideraban demasiado

IoT diseñado para la seguridad – Agenda de IoT

Parece que cada semana hay otra historia pesimista sobre cómo la seguridad de IoT se rompe irremediablemente. En general, las historias involucran a varios jugadores: Fabricantes que parecen tener más interés en el envío de

Cómo desarrollar aplicaciones seguras

A pesar de la naturaleza omnipresente de las aplicaciones, que impulsan todo, desde nuestros procesos comerciales hasta nuestros teléfonos celulares y nuestros automóviles, y nuestra gran dependencia de ellos, se realizan esfuerzos mínimos para proteger

Cómo diseñar API para arquitectura de nube híbrida

Es probable que todas las empresas utilicen un modelo de nube híbrida en alguna capacidad, por lo que los equipos de desarrollo deben considerar cómo abordar la creación de software para este entorno. Los desarrolladores

Logi Analytics guiado por un objetivo riguroso

Un concepto guía casi todo lo que hace Logi Analytics, incluido el desarrollo de su producto reciente y sus decisiones de adquirir y realizar una adquisición: permitir que los gerentes de productos y desarrolladores creen

Almacenes de datos y escalabilidad

Este artículo apareció originalmente en BeyeNETWORK. La rápida entrada de varias soluciones de dispositivos de almacenamiento de datos en los últimos años ha despertado cierto interés en la cuestión del rendimiento y la escalabilidad del

¿Qué es Microsoft Exchange Server 2013?

Exchange Server 2013 es una iteración del servidor Exchange de Microsoft. Exchange Server 2013 es similar a Exchange Server 2010 en que la plataforma de mensajería se puede implementar en las instalaciones, en la nube

¿Qué es Procure to Pay (P2P)?

Procure to pay es el proceso de solicitar, comprar, recibir, pagar y contabilizar bienes y servicios. Recibe su nombre de la secuencia ordenada de adquisiciones y procesos financieros, comenzando con los primeros pasos para adquirir

Cambios en el proceso de actualización de Windows 10

Con Windows 10, Microsoft introdujo un nuevo sistema de actualización perpetua. Entonces, en lugar de lanzar un nuevo sistema operativo dentro de unos años, la compañía planea actualizar continuamente Windows 10. Como resultado, los días

El papel de un ingeniero de pruebas

ahora en lo que hace un ingeniero de automatización de pruebas o un ingeniero de pruebas y cómo trabaja con otras personas del equipo. Un enfoque de las pruebas basado en roles permite que su

¿Qué es AWS Elastic Beanstalk?

AWS Elastic Beanstalk es un servicio de implementación y aprovisionamiento en la nube que automatiza el proceso de configuración de aplicaciones en la infraestructura de Amazon Web Services (AWS). Para utilizar el servicio, los desarrolladores

¿Necesito antivirus para implementaciones de VDI?

La implementación de VDI debería cambiar su estrategia antivirus, pero no eliminará la necesidad de AV. Los nuevos virus son tan efectivos en los escritorios virtuales como en los físicos. Los antivirus para entornos de

El futuro de PowerShell comienza a enfocarse

Mientras predice el futuro de PowerShell, es útil echar un vistazo a sus inicios para ver hacia dónde se dirige como herramienta de administración multiplataforma. Microsoft lanzó PowerShell en 2006 como parte de las versiones

¿Qué es VMware vSGA?

Una GPU es una tarjeta de video con sus propios núcleos de procesador que están diseñados para optimizar operaciones gráficas complejas que… de lo contrario cargaría la CPU. La mayoría de las PC de escritorio

Deja un comentario