To bych videl jen jako nejvetsi problem pri pouziti Apache a mod_cgi ... ....ALE.... nejak v tom necitim moc velky dusevni boj, kvuli kteremu bych v noci nemohl vklidu spat ....
Dne 25. září 2014 20:11 Mila Sos <[email protected]> napsal(a): > Aha odpovim sis sam (uz jsem to cet) : > > binarni programy s suid volajici shell, nenapadlo me ze je nekdo schopen > takovou cunarnu vytvorit > > Mila > > > > On 2014/09/25 19:53, Mila Sos wrote: > > Vcem tkvi nebezpecnost? : > > > > [mila@xxx ~]$ env x='() { :;}; /usr/bin/whoami' bash -c "echo test" > > mila > > test > > [mila@xxx ~]$ > > > > Ze by nekdo mel u bashe suid pro roota docela pochybuji... > > > > Rad se necham poucit. > > > > Mila > > > > > > > > > > On 2014/09/25 18:41, David Pasek wrote: > >> Systemy jiz nastesti neadministruji, ale co jsem v kuluarech slysel, > tak se > >> to rozhodne netyka jen bashe, ale nejakych knihoven, ktere bash pouziva > pro > >> zpracovani ENV variables. A bash pry neni zdaleka jediny, kdo je > pouziva. > >> Dalsi kdo je pouziva je pry apache a to je asi jeste vyrazne vetsi > problem > >> nez zranitelnost bashe. > >> > >> On Thu, Sep 25, 2014 at 6:34 PM, Cejka Rudolf <[email protected]> > wrote: > >> > >>> Jan Dušátko wrote (2014/09/25): > >>>> Zajimalo by mne, zda se to tyka pouze Linuxu a pouze pokud mate bash > >>>> > >>> > https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environmen > >>>> t-variables-code-injection-attack/ > >>> No vzhledem ke commitům do SVN FreeBSD bych řekl, že se to pouze Linuxu > >>> netýká :o) Aktuálně se věří ve verzi 4.3.25_1. > >>> > >>> http://svnweb.freebsd.org/ports/head/shells/bash/Makefile?view=log > >>> > >>> -- > >>> Rudolf Cejka <cejkar at fit.vutbr.cz> http://www.fit.vutbr.cz/~cejkar > >>> Brno University of Technology, Faculty of Information Technology > >>> Bozetechova 2, 612 66 Brno, Czech Republic > >>> -- > >>> FreeBSD mailing list ([email protected]) > >>> http://www.freebsd.cz/listserv/listinfo/users-l > >>> > >> > > -- > FreeBSD mailing list ([email protected]) > http://www.freebsd.cz/listserv/listinfo/users-l > -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
