CLOUDSTAR

Gepubliceerd op vrijdag 26 september 2014

Shellshock-bug: Alle servers gepatched

Gisteravond zijn alle linux servers die kwetsbaar zijn voor de shellshock-bug gepatched.

Gisteravond is er een kwestsbaarheid bekendgemaakt in een stukje software dat op vrijwel alle Linux-, Unix- en Mac OSX-systemen wordt gebruikt: Bash.

Achtergrond informatie

Bash is een shell-omgeving waarmee op het systeem ingelogde gebruikers commando's kunnen uitvoeren. Daarnaast wordt dit pakket ook veel gebruikt voor andere taken zoals vooraf gedefinieerde (gescripte) opdrachten maar ook als ondersteuning bij andere pakketten zoals Cups, DHCP clients en in sommige gevallen als CGI-scriptingtaal.

 

Het lek

Gister is bekend geworden dat in specifieke situaties de omgevingsvariabelen op de verkeerde manier kunnen worden geïnterpreteerd en als commando kunnen worden uitgevoerd. Hierdoor kunnen alle systemen waarop bash als omgeving wordt gebruikt in principe door kwaadwillenden kunnen worden misbruikt.

 

Gepatched

Gezien de grote risico's die deze kwetsbaarheid met zich meebrengt heeft Cloudstar inmiddels zowel de eigen infrastructuur als alle servers van klanten ge-update met een nood-patch (ook die zonder een full support contract). Hierdoor is de kans op misbruik vanop afstand sterk verminderd. Er zal in de nabije toekomst nog een definitieve oplossing uitgerold worden tijdens de volgende patch-ronde.