Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Mittwoch, 24 September 2014 | Blog: 9 | No: 30262
Bug der Woche: Remote Code Execution via Bash. Der Patch sieht so aus, als könnte man im Environment neben FOO=BAR auch sowas haben wie hinten dran noch Shell-Statements, die dann ausgeführt würden.
Damit einen das betrifft, müsste ein Netzwerk-Dienst von remote Environment-Werte entgegennehmen und dann bash aufrufen. An der Stelle hat man dann aber auch Probleme mit $LD_PRELOAD und $IFS und so weiter.
Dennoch. Tolle Infrastruktur haben wir da!
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Mittwoch, 24 September 2014 | Blog: 9 | No: 30262
Tolle Infrastruktur haben wir da!
Remote Code Execution via Bash
Damit einen das betrifft, müsste ein Netzwerk-Dienst von remote Environment-Werte entgegennehmen und dann bash aufrufen. An der Stelle hat man dann aber auch Probleme mit $LD_PRELOAD und $IFS und so weiter.
Dennoch. Tolle Infrastruktur haben wir da!
Update: Hier gibt es ein paar Details. Es ist ungefähr wie ich gedacht hatte. Man muss sich schon anstrengen, um da betroffen zu sein. Und angestrengt haben sich: Leute, die Subversion oder git über SSH mit ForceCommand machen; Leute, bei denen der Webserver CGI via Bash aufruft; Leute, die ranzige DHCP-Clients einsetzen, die lokal irgendwelchen Shellskripte mit Environment auf Basis von Werten des Servers aufrufen. Das ist schon einmal ein richtig doll krass peinlicher Bug, und wer Bash auf dem System hat sollte jetzt updaten.
Update:
env x='() { :;}; echo vulnerable' bash -c "echo test"Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
