On Thu, Sep 25, 2014 at 10:14 AM, Mircea MITU <[email protected]> wrote:
> in special web servers cu php si aplicatii facute si intretinute bine > (xploitz in-za-wild already oneoneone11!!) > > bash bug - shellshock - bigger than heartbleed > > http://blog.erratasec.com/2014/09/bash-bug-as-big-as-heartbleed.html#.VCPAF2SloRk > Hai sa nu o luam pe carari, nu e bigger than heartbleed. In general "webservers cu php" n-au treaba sa ruleze bash. Vectorul principal de atac sunt cgi-uri scrise in bash. S-ar putea sa fie relativ big daca se gaseste ca ceva cpanel or such ruleaza scripturi bash cu env variables setate din parametri de get/post, dar si atunci ar fi app-specific. Heartbleed era nasol ca era exploatabil remote chiar si pe servere perfect configurate, daca aveai un socket TLS care era facut cu openssl, gata, erai vulnerabil. Asta (#shellshock #bashgate #cgizilla ?) are nevoie sa setezi o variabila de mediu cu user data, dupa care sa rulezi bash. Da' na, daca e miros de ceva page views, de ce sa nu exagerezi lucrurile? -- P. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
