RE: Bash specially-crafted environment variables code injection attack

Zda se, ze to stale nekonci. Pribyly dalsi dva CVE zaznamy, tedy celkem uz sest. CVE-2014-6271 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271 CVE-2014-6277 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6277 CVE-2014-6278

Re: Bash specially-crafted environment variables code injection attack

Dne 25. 9. 2014 v 20:43 David Pasek napsal(a): tak mi to nedalo a precetl jsem si k tomu detaily a fakt to je problem bashe a jeho pripadne pouziti z apache ruznymi exekutory CGI skriptu nevyjimaje perl, python, apod. Porad v tom nemam nejak jasno s tim apachem... je to tedy tak, ze je to

Bash specially-crafted environment variables code injection attack

Zajimalo by mne, zda se to tyka pouze Linuxu a pouze pokud mate bash https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environmen t-variables-code-injection-attack/ -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l

Re: Bash specially-crafted environment variables code injection attack

Jan Dušátko wrote (2014/09/25): Zajimalo by mne, zda se to tyka pouze Linuxu a pouze pokud mate bash https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environmen t-variables-code-injection-attack/ No vzhledem ke commitům do SVN FreeBSD bych řekl, že se to pouze Linuxu netýká

RE: Bash specially-crafted environment variables code injection attack

Zajimalo by mne, zda se to tyka pouze Linuxu a pouze pokud mate bash https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environmen t-variables-code-injection-attack/ # bash [ ~]# env x='() { :;}; echo vulnerable' bash -c echo this is a test vulnerable this is a test [ ~]# exit #

Re: Bash specially-crafted environment variables code injection attack

Systemy jiz nastesti neadministruji, ale co jsem v kuluarech slysel, tak se to rozhodne netyka jen bashe, ale nejakych knihoven, ktere bash pouziva pro zpracovani ENV variables. A bash pry neni zdaleka jediny, kdo je pouziva. Dalsi kdo je pouziva je pry apache a to je asi jeste vyrazne vetsi

Re: Bash specially-crafted environment variables code injection attack

Vcem tkvi nebezpecnost? : [mila@xxx ~]$ env x='() { :;}; /usr/bin/whoami' bash -c echo test mila test [mila@xxx ~]$ Ze by nekdo mel u bashe suid pro roota docela pochybuji... Rad se necham poucit. Mila On 2014/09/25 18:41, David Pasek wrote: Systemy jiz nastesti neadministruji, ale co

RE: Bash specially-crafted environment variables code injection attack

CVE-2014-6271 and CVE-2014-7169 Bash vulnerability Everything before 4.3.25 is vulnerable, 4.3.25 should contain the fix. http://www.vuxml.org/freebsd/71ad81da-4414-11e4-a33e-3c970e169bc2.html -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l

Re: Bash specially-crafted environment variables code injection attack

Aha odpovim sis sam (uz jsem to cet) : binarni programy s suid volajici shell, nenapadlo me ze je nekdo schopen takovou cunarnu vytvorit Mila On 2014/09/25 19:53, Mila Sos wrote: Vcem tkvi nebezpecnost? : [mila@xxx ~]$ env x='() { :;}; /usr/bin/whoami' bash -c echo test mila test

Re: Bash specially-crafted environment variables code injection attack

To bych videl jen jako nejvetsi problem pri pouziti Apache a mod_cgi ... ALE nejak v tom necitim moc velky dusevni boj, kvuli kteremu bych v noci nemohl vklidu spat Dne 25. září 2014 20:11 Mila Sos mila...@email.cz napsal(a): Aha odpovim sis sam (uz jsem to cet) : binarni

Re: Bash specially-crafted environment variables code injection attack

Ahoj, tak mi to nedalo a precetl jsem si k tomu detaily a fakt to je problem bashe a jeho pripadne pouziti z apache ruznymi exekutory CGI skriptu nevyjimaje perl, python, apod. Priznam se, ze jsem podobnych veci v minulosti napsal hodne a utocnik se takto muze dostat do systemu s pravy web