El día 26 de septiembre de 2014, 10:32, Jorge <jfo...@gmail.com> escribió: > Me pregunto si hay algo que se me escapa en la administración de sistemas > que haga a cualquier sistema vulnerable o solo en los casos en los que se > genera contenido con CGI usando Bash existe la vulnerabilidad.
¿Si usas un comando externo en un servidor web no-cgi sanitizas las variables de entorno antes de ejecutarlo? ¿Ese sistema no-cgi mete el user agent en una variable de entorno? Posiblemente hay maneras de puteo. Si eres un programador un poco cabroncete se te pueden ocurrir varios casos de uso donde la gente suele usar comandos externos para hacer cosas. Si eres administrador de sistemas conoceras las maneras creativas con las que un programador mediocre, malo o despistado te la puede liar. Yo le daría una vuelta ;-) Un abrazo, Javi _______________________________________________ Hackademy mailing list Hackademy@listas.sindominio.net https://listas.sindominio.net/mailman/listinfo/hackademy
