Shellshock en de kracht van Salt

Deze week stond de pers bol van nieuws rond de zogenaamde Shellshock bug die veel webservers op Linux bedreigd, maa r daar gaat deze blogpost niet over.

Gezien de ernst van deze kwetsbaarheid hebben we de Taurix servers onmiddellijk gepatched bij het uitkomen van een fix buiten onze normale patch-cycle om. 
Dit process was kinderlijk simpel omdat al onze systemen beheerd worden met Salt.  Het eigenlijke patchen ging in 1 commando vanop onze management server:

salt '*' cmd.run 'aptitude install -y bash'

Bovenstaand commando vraagt salt om op alle servers (*) een commando te draaien (cmd.run).  Onze servers draaien op Ubuntu, met het commando aptitude install -y bash upgraden we enkel bash naar de nieuwste versie zonder om bevestiging te vragen.

Gelijkaardig kan salt simpel testen of er nog ergens kwetsbare versies van bash draaien met:

salt '*' cmd.run "export testbug='() { :;}; echo VULNERABLE' && bash -c 'echo Hello'"