Forum dla administratorów stron WWW i developerów

Witaj!

AdminZone.pl to miejsce w którym możesz dowiedzieć się jak szybko i skutecznie wypromować swoją stronę WWW, zachęcić użytkowników do wypowiadania się i aktywnego udziału w życiu takiej strony.
Dołącz do naszej społeczności aby w pełni korzystać z usług oferowanych przez AdminZone.pl
Zaloguj się
lub
Zarejestruj się
 
Awatar użytkownika
Macsch15
Administrator
Posty: 1968
Rejestracja: 10 sie 2012, 16:12
Lokalizacja: Polska
Kontaktowanie:

Dziura w Bash'u (CVE-2014-6271, shellshock)

Autor tematu

27 wrz 2014, 0:27

CVE-2014-6271 - pozwala na zdalne wykonywanie kodu poprzez manipulację zmiennymi środowiskowymi.

Podatność na atak można sprawdzić poprzez:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"


Jeżeli pojawi się słowo "vulnerable" w wyniku, serwer jest podatny na ataki.

Aby załatać bład, wydajemy polecenie:
sudo apt-get update && sudo apt-get install --only-upgrade bash


Ale patch nie łata błędu do końca, "Taviso" pokazał jak go obejść:
env X='() { (a)=>\' sh -c "echo date"; cat echo


Więcej informacji można znaleźć na blogu redhat'a: https://securityblog.redhat.com/2014/09...on-attack/


 
Awatar użytkownika
developer1
Użytkownik
Posty: 34
Rejestracja: 13 lip 2014, 23:06

Re: Dziura w Bash'u (CVE-2014-6271, shellshock)

17 lis 2018, 23:18

NIGDY BASH. Jeśli już to ZSH ewentualnie VSH.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 45 gości