Haavoittuvuus Bash-komentotulkissa (Shellshock)

Viestintävirasto varoittaa vakavasta haavoittuvuudesta Linux-käyttöjärjestelmän bash-komentotulkissa (CVE-2014-6271 ja CVE-2014-7169):

https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuus-2014-106.html

Ylläpidetyt palvelut

Ylläpitomme päivittää parhaillaan korjattuja versioita bash-komentotulkista kaikkiin asiakkaidemme kotisivu-, webhotelli- ja sähköpostipalveluihin sekä niihin Linux-käyttöjärjestelmällä varustettuihin palvelimiin ja virtuaalipalvelimiin, joissa on käytössä Ylläpitopalvelu-lisäpalvelu. Ilmoitamme tässä tiedotteessa kun päivitys on asennettu edellä mainittuihin palveluihin.

Päivitys: Valtaosaan asiakkaidemme palveluita haavoittuvuuden paikkaava tietoturvapäivitys asennettiin torstain 25.9. ja perjantain 26.9. aikana. Loppuihin yksittäisiin mm. vanhemmilla käyttöjärjestelmillä varustettuihin asiakkaiden ympäristöihin päivitys asennettiin viikonlopun 27.-28.9. aikana. Viikolla 40 on asennettu päivityksiä vielä sellaisiin asiakkaiden palvelinympäristöihin, jotka eivät ole olleet käynnissä ja joissa haavoittuvuus ei ole ollut siksi hyödynnettävissä.

Asiakkaiden itse ylläpitämät palvelimet

Asiakas on itse vastuussa tietoturvapäivitysten asentamisesta niihin palvelimiinsa, joissa ei ole käytössä Ylläpitopalvelu-lisäpalvelua. Tällöin asiakkaalla itsellään on pääkäyttäjän tunnukset palvelimelle. Päivityksen voi tehdä esimerkiksi seuraavalla tavalla (omalla vastuulla):

1. Kirjaudu SSH-pääteyhteydellä palvelimelle pääkäyttäjän (root) tunnuksella

2. Päivitä bash paketti uusimpaan versioon komentoriviltä

CentOS 5, CentOS 6 ja CentOS 7 -jakelut:

yum clean all && yum -y update bash

Debian Wheezy 7, Ubuntu 10.04 LTS, Ubuntu 12.04 LTS ja Ubuntu 14.04 LTS -jakelut:

apt-get update && apt-get install -y bash

Debian Squeeze 6 -jakelu:

wget http://ftp.fi.debian.org/debian/pool/main/b/bash/bash_4.1-3+deb6u2_amd64.debdpkg -i bash_4.1-3+deb6u2_amd64.debrm -f bash_4.1-3+deb6u2_amd64.deb

Halutessaan asiakas voi myös tilata päivityksen itse ylläpitämäänsä palvelimeen ylläpidoltamme. Päivityksen hinta on 150 euroa + ALV 24 %.