Forum dla administratorów i moderatorów. Rozwijanie witryny, pozycjonowanie, optymalizacja, projektowanie.

Witaj!

AdminZone.pl to miejsce w którym możesz dowiedzieć się jak szybko i skutecznie wypromować swoją stronę WWW, zachęcić użytkowników do wypowiadania się i aktywnego udziału w życiu takiej strony.
Dołącz do naszej społeczności aby w pełni korzystać z usług oferowanych przez AdminZone.pl
Zaloguj się
lub
Zarejestruj się
 
Awatar użytkownika
Macsch15
Administrator
Posty: 1946
Rejestracja: 10 sie 2012, 16:12
Lokalizacja: Polska
Kontaktowanie:

Dziura w Bash'u (CVE-2014-6271, shellshock)

Autor tematu

27 wrz 2014, 0:27

CVE-2014-6271 - pozwala na zdalne wykonywanie kodu poprzez manipulację zmiennymi środowiskowymi.

Podatność na atak można sprawdzić poprzez:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


Jeżeli pojawi się słowo "vulnerable" w wyniku, serwer jest podatny na ataki.

Aby załatać bład, wydajemy polecenie:
sudo apt-get update && sudo apt-get install --only-upgrade bash


Ale patch nie łata błędu do końca, "Taviso" pokazał jak go obejść:
env X='() { (a)=>\' sh -c "echo date"; cat echo


Więcej informacji można znaleźć na blogu redhat'a: https://securityblog.redhat.com/2014/09...on-attack/


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość