Dear pelanggan indoglobal.com,

Pada hari Rabu malam pukul 22.30, RedHat mengeluarkan update untuk bash. Ternyata ada masalah keamanan yang sangat serius dari bash. Bash adalah shell yang paling populer di Linux, dan juga komponen yang paling penting karena juga berfungsi sebagai /bin/sh.

Terkadang pengguna tidak menyadari pentingnya komponen ini karena seringkali digunakan secara implisit, misalnya pada system call popen() atau system(). Pada PHP, /bin/sh juga digunakan secara implisit pada fungsi exec(), passthru(), shell_exec(), system(), popen() dan mungkin yang lainnya.

Tim indoglobal.com langsung melakukan update terhadap seluruh server kami. Celah keamanan ini sangat serius karena berpotensi dimanfaatkan secara remote, tanpa perlu login ke sistem.

Namun dalam beberapa jam kembali ada kabar buruk. Ternyata update tersebut memiliki efek samping dan menimbulkan celah keamanan yang lain. Dan mungkin karena timing yang kurang pas, celah keamanan yang kedua ini belum ada updatenya dari sebagian besar vendor besar.

Untuk itu, tim indoglobal.com mengambil inisiatif untuk melakukan sendiri perbaikan bash tanpa menunggu update dari RedHat, vendor sistem operasi yang kami gunakan. Pada Kamis, 25 September 2014, sekitar pukul 14.00 kami berhasil melakukan sendiri patch. Dan dari percobaan yang kami lakukan, perbaikan ini bisa mengatasi masalah celah keamanan yang terjadi.

Sedangkan untuk sistem lama, kami belum berhasil melakukan perbaikan terhadap celah keamanan yang kedua ini. Solusinya kini kami menggunakan zsh sebagai /bin/sh dan mengubah shell pengguna menjadi zsh.

Sampai saat ini (Jumat, 26 September 2014, pukul 01.30 dinihari) kami masih belum menerima update dari RedHat. Namun berdasarkan pengamatan kami, server kami dan akun pelanggan-pelanggan kami sudah dalam kondisi yang aman sejak siang Kamis kemarin, sangat jauh lebih cepat daripada server hosting lain pada umumnya. Kami akan kembali melakukan update jika RedHat sudah merilis perbaikannya.

Kami merilis informasi ini karena dalam beberapa jam terakhir, masalah ini mulai ramai dibahas di media massa. Celah keamanan ini dinamai Shell Shock, dan mungkin berpotensi menyamai popularitas Heartbleed beberapa bulan yang lalu.

Pelanggan kami tidak perlu kuatir, karena berdasarkan investigasi kami, tidak ada masalah keamanan yang sempat timbul akibat celah keamanan ini. Namun jika pelanggan merasa ada masalah pada akunnya, akibat celah keamanan, atau karena inkompatibilitas dengan perbaikan yang kami lakukan, silakan untuk segera menghubungi tim dukungan teknis kami.

(Gambar ilustrasi dari Symantec)