Shellshock?

Shellshock?

Impressum | Werbung

Geizhals » Forum » Security & Viren »

Shellshock? (41 Beiträge, 757 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

Wundert mich irgendwie, dass hier gar nix dazu steht..
Aber anscheinend ist jeder mit was Wichtigerem beschäftigt (guckt Richtung #bendgate..).

Kurz um was es geht (wenn ich es richtig verstanden habe): Man kann der bash via "-c" Parameter ja Funktionen/Befehle übergeben welche ausgeführt werden.
Soweit auch kein Problem, wenn die Bash nicht einfach so eine Funktion/Umgebungsvariablen davor auch ausführen würde (und das immer, egal ob hinten ein richtiges Kommando kommt - UND GENAU DAS ist das Hauptproblem).

http://derstandard.at/2000006134121/Shellshock-Bug-22-Jahre-unentdeckt-extrem-gefaehrlich

Das hier werden sicher schon genug gelesen haben:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Das soll man in die Shell eingeben um zu testen, ob man die fehlerhafte Bash hat.

Ich dachte mir dann immer: Aber wie zum Geier kann man das nun von außen ausnutzen?

Tjo, mit dem user-Agent natürlich :D
Hier ein Test Skript (CGI für Server und den Aufruf dazu):
https://security.stackexchange.com/questions/68122/what-is-a-specific-example-of-how-the-shellshock-bash-bug-could-be-exploited

Guckt also mal lieber nach, ob ihr wo CGI-Skripte habt und wenn ja, ob ihr die Bash nutzt (in meinem Fall ist die Default-Shell sowieso eine andere, also die CGI Skripte gehen nicht mit Bash, ich musst es manuell auf #!/bin/bash ändern, da /bin/sh auf die zsh zeigt

Apple Fans sind wie Zeugen Jehovas. Es ist sinnlos mit ihnen zu reden..

Why not ZOIDBERG? (V)_(°,,,°)_(V)
(-.(-.(-.(-.-).-).-).-)

Re: Shellshock? (A national Acrobat am 29.09.2014, 16:29:21)

Re(2): Shellshock? (thE am 29.09.2014, 16:48:48)

Re(3): Shellshock?

(TuxTux am 29.09.2014, 17:53:58)

Re(4): Shellshock? (thE am 29.09.2014, 18:12:51)

Re(3): Shellshock? (A national Acrobat am 30.09.2014, 06:59:51)

Re(4): Shellshock? (thE am 30.09.2014, 10:20:47)

Re(5): Shellshock? (A national Acrobat am 30.09.2014, 10:31:37)

Re: Shellshock? (Diabolo2000 am 29.09.2014, 16:40:44)

Re(2): Shellshock? (thE am 29.09.2014, 17:12:05)

Re(2): Shellshock? (m3t4tr0n am 30.09.2014, 19:38:24)

Re: Shellshock? (TuxTux am 29.09.2014, 17:53:03)

Re(2): Shellshock? (thE am 29.09.2014, 18:14:53)

Re(3): Shellshock? (TuxTux am 29.09.2014, 19:56:22)

Re: Shellshock? (ZombyKillah am 29.09.2014, 19:24:34)

Re(2): Shellshock? (TuxTux am 29.09.2014, 19:55:39)

Re(3): Shellshock? (colo am 29.09.2014, 20:33:40)

Re(4): Shellshock? (TuxTux am 29.09.2014, 21:01:48)

Re(5): Shellshock? (user96106 am 01.10.2014, 19:51:55)

Re(4): Shellshock? (thE am 30.09.2014, 10:19:14)

Re(4): Shellshock? (hhetl am 30.09.2014, 20:29:50)

Re(5): Shellshock? (user96106 am 01.10.2014, 19:52:57)

Re(4): Shellshock? (user96106 am 01.10.2014, 19:50:49)

Re(5): Shellshock? (hhetl am 02.10.2014, 10:16:07)

Re(2): Shellshock? (colo am 29.09.2014, 20:41:29)

Re(3): Shellshock?

(Lazy Jones am 29.09.2014, 21:42:47)

Re(4): Shellshock? (colo am 29.09.2014, 22:07:52)

Re(3): Shellshock? (ZombyKillah am 29.09.2014, 22:01:31)

Re(2): Shellshock? (thE am 29.09.2014, 21:54:13)

Re(3): Shellshock?

(colo am 29.09.2014, 22:16:15)

Re(4): Shellshock? (thE am 29.09.2014, 22:46:17)

Re(5): Shellshock?

(colo am 29.09.2014, 22:49:23)

Re: Shellshock? (*patrick star* am 29.09.2014, 22:12:17)

Re(2): Shellshock? (A national Acrobat am 30.09.2014, 07:02:40)

Re(3): Shellshock? (*patrick star* am 30.09.2014, 07:54:05)

Re(4): Shellshock? (A national Acrobat am 30.09.2014, 08:38:43)

Re: Shellshock? (user96106 am 01.10.2014, 19:53:43)

Re(2): Shellshock? (*patrick star* am 03.10.2014, 18:50:29)

Re(3): Shellshock? (user96106 am 03.10.2014, 19:03:02)

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung