El 26/09/14 a las #4, hackademy-requ...@listas.sindominio.net escribió: > From: Jorge <jfo...@gmail.com> > Subject: [Hackademy] Shellshock - Duda - Fallo de implementación de > servicio. > > Hola lista, > > Visto que ha habido algo de movimiento y que hay gente ahí fuera quería > lanzaros una pregunta acerca del nuevo sonado agujero de seguridad. > > En que ámbitos se sigue utilizando CGIs como lenguaje de script en > servidores web. Nunca he desarrollado una web de estas características. > > La bash es mala porque ejecuta código si declaramos una variable función y > después le pones comandos, vale. Entre desarrolladores diríamos que no es > bug es una "Feature" (JAJAJJAA) > > A parte de que la bash sea mala. Consideraría un error mucho mayor tener > una implementación en la que cojo una entrada de usuario y la meto > directamente al sistema, bien sea a modo de Cabecera HTTP y se la paso a la > bash o como entrada en un formulario y la meto en las Base de datos. > > Me pregunto si hay algo que se me escapa en la administración de sistemas > que haga a cualquier sistema vulnerable o solo en los casos en los que se > genera contenido con CGI usando Bash existe la vulnerabilidad. > > Un saludo!
A mí lo que me mosquea es que tengo 3 servidores con ubuntu trusty. En uno tras actualizar se arregló el problema y en los otros dos sólo me vino el parche parcial. Al final les puse el mismo /etc/apt/sources.list y sigue igual! En fin, ya con el parche instalado haré por averiguar si estaba afectado o qué. Aquí hay una lista de parches: http://ftp.gnu.org/gnu/bash/bash-4.3-patches/ pero que me aspen, tiene que haber ya dpkg corregidos para ubuntu trusty, ¿no?!!? ¿Alguien tiene un link? Gracias! _______________________________________________ Hackademy mailing list Hackademy@listas.sindominio.net https://listas.sindominio.net/mailman/listinfo/hackademy
