“Shellshock” en GNU Bash

Declaración de la Fundación del Software Libre sobre la vulnerabilidad “Shellshock” en GNU Bash

Se ha descubierto un importante problema de seguridad en el shell de software libre GNU Bash. Ya se han corregido los problemas más graves, y se está trabajando en una solución definitiva. Las distribuciones GNU / Linux están trabajando para liberar los paquetes actualizados por los usuarios. Estos deben actualizar inmediatamente Bash, y auditar la lista de servicios de red remotos que se ejecutan en sus sistemas.

Bash es el shell del Proyecto GNU; es parte de la suite de software que componen el sistema operativo GNU. Los programas GNU, más el núcleo de Linux forman un sistema operativo de software libre de propósito general, llamado GNU / Linux. El error, que se puede definir como “shellshock,”, puede permitir, en determinadas circunstancias, ataques al acceso y control remoto de los sistemas que utilizan Bash (y programas que llaman Bash) como un vector de ataque, a pesar del kernel que se esté ejecutando. El error probablemente afecta a muchos usuarios de GNU / Linux, así como a aquellos que utilizan Bash en sistemas operativos propietarios como Apple OS X y Microsoft Windows. Se pueden encontrar Detalles técnicos adicionales sobre el tema en CVE-2014-6271 y CVE-2014-7.169.

GNU Bash ha sido ampliamente adoptado, ya que es libre, fiable y de shell featureful. Esta popularidad explica la generalización del grave error publicado ayer. Afortunadamente, la licencia de GNU Bash, la Licencia Pública General GNU versión 3, ha facilitado una rápida respuesta. Ha permitido a Red Hat desarrollar y compartir los parches junto con el esfuerzo de los principales desarrolladores de Bash para solucionar el error, que cualquiera puede descargar y aplicar. Todo el que use Bash tiene la libertad de descargar, inspeccionar y modificar el código – a diferencia de Microsoft, Apple, u otro software propietario.

La libertad del software es condición previa para una informática segura; garantiza a todos la posibilidad de examinar el código para detectar vulnerabilidades y crear versiones nuevas y seguras si se descubre una vulnerabilidad. Tu libertad de software no garantiza un código libre de errores, pero tampoco lo hace el software propietario: los bugs suceden cualquiera que sea la licencia del software. Pero cuando un error se descubre en el software libre, todo el mundo tiene el permiso, los derechos, y el código fuente para exponer y solucionar el problema. Así, se puede distribuir con rapidez de forma gratuita a todo el que lo necesite. Por lo tanto, estas libertades son cruciales por ética e una informática segura.

El software propietario (también conocido como no-libre) se basa en un modelo de desarrollo injusto que niega a los usuarios la libertad básica de controlar sobre sus ordenadores. Cuando se mantiene oculto el código del software, es vulnerable no sólo a los bugs que no se detectan, sino también a los añadidos y mantenidos, de forma deliberada, de características maliciosas. Las empresas pueden utilizar la oscuridad de su código para ocultar problemas graves, y se ha documentado que Microsoft proporciona a las agencias de espionaje información sobre las vulnerabilidades de seguridad antes de fijarlos.

El software libre no puede garantizar tu seguridad, y en ciertas situaciones puede parecer menos seguros en vectores específicos que algunos programas propietarios. Se aceptaron ampliamente las consecuencias del bug “Heartbleed” de OpenSSL, la solución no es cambiar un fallo de seguridad por la total inseguridad creada por el software propietario – la solución es poner energía y recursos en la auditoría y mejora de los programas libres .

El desarrollo de Bash, y de GNU en general, es casi exclusivamente un esfuerzo voluntario, y puedes contribuir. Estamos revisando el desarrollo de Bash, para ver si el aumento de la financiación puede ayudar a prevenir problemas futuros. Si tu o tu organización utilizáis Bash y estáis interesados ​​en apoyar su desarrollo, por favor contactanos.

Los parches para solucionar este problema se pueden obtener directamente en http://ftp.gnu.org/gnu/bash/.

Media Contacts
John Sullivan
Executive Director
Free Software Foundation
+1 (617) 542 5942
campaigns@fsf.org

Está página ha sido traducida por mi, no cuenta con el beneplácito de la FSF, si quieres ver el artículo original, lo encontrarás en:fsfcreativec

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s