Zda se, ze to stale nekonci. Pribyly dalsi dva CVE zaznamy, tedy celkem uz
sest.
CVE-2014-6271 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
CVE-2014-6277 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6277
CVE-2014-6278
Dne 25. 9. 2014 v 20:43 David Pasek napsal(a):
tak mi to nedalo a precetl jsem si k tomu detaily a fakt to je problem
bashe a jeho pripadne pouziti z apache ruznymi exekutory CGI skriptu
nevyjimaje perl, python, apod.
Porad v tom nemam nejak jasno s tim apachem...
je to tedy tak, ze je to
Zajimalo by mne, zda se to tyka pouze Linuxu a pouze pokud mate bash
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environmen
t-variables-code-injection-attack/
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
Jan Dušátko wrote (2014/09/25):
Zajimalo by mne, zda se to tyka pouze Linuxu a pouze pokud mate bash
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environmen
t-variables-code-injection-attack/
No vzhledem ke commitům do SVN FreeBSD bych řekl, že se to pouze Linuxu
netýká
Zajimalo by mne, zda se to tyka pouze Linuxu a pouze pokud mate bash
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environmen
t-variables-code-injection-attack/
# bash
[ ~]# env x='() { :;}; echo vulnerable' bash -c echo this is a test
vulnerable
this is a test
[ ~]# exit
#
Systemy jiz nastesti neadministruji, ale co jsem v kuluarech slysel, tak se
to rozhodne netyka jen bashe, ale nejakych knihoven, ktere bash pouziva pro
zpracovani ENV variables. A bash pry neni zdaleka jediny, kdo je pouziva.
Dalsi kdo je pouziva je pry apache a to je asi jeste vyrazne vetsi
Vcem tkvi nebezpecnost? :
[mila@xxx ~]$ env x='() { :;}; /usr/bin/whoami' bash -c echo test
mila
test
[mila@xxx ~]$
Ze by nekdo mel u bashe suid pro roota docela pochybuji...
Rad se necham poucit.
Mila
On 2014/09/25 18:41, David Pasek wrote:
Systemy jiz nastesti neadministruji, ale co
CVE-2014-6271 and CVE-2014-7169 Bash vulnerability
Everything before 4.3.25 is vulnerable, 4.3.25 should contain the fix.
http://www.vuxml.org/freebsd/71ad81da-4414-11e4-a33e-3c970e169bc2.html
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
Aha odpovim sis sam (uz jsem to cet) :
binarni programy s suid volajici shell, nenapadlo me ze je nekdo schopen
takovou cunarnu vytvorit
Mila
On 2014/09/25 19:53, Mila Sos wrote:
Vcem tkvi nebezpecnost? :
[mila@xxx ~]$ env x='() { :;}; /usr/bin/whoami' bash -c echo test
mila
test
To bych videl jen jako nejvetsi problem pri pouziti Apache a mod_cgi ...
ALE nejak v tom necitim moc velky dusevni boj, kvuli kteremu bych v
noci nemohl vklidu spat
Dne 25. září 2014 20:11 Mila Sos mila...@email.cz napsal(a):
Aha odpovim sis sam (uz jsem to cet) :
binarni
Ahoj,
tak mi to nedalo a precetl jsem si k tomu detaily a fakt to je problem
bashe a jeho pripadne pouziti z apache ruznymi exekutory CGI skriptu
nevyjimaje perl, python, apod.
Priznam se, ze jsem podobnych veci v minulosti napsal hodne a utocnik se
takto muze dostat do systemu s pravy web
11 matches
Mail list logo