Bash shell shock

tiger_by · 29 Сен 2014

Дабы не копипастить весь текст дам прямую ссылку с хабра.

http://habrahabr.ru/company/mailru/blog/238475/

Вкратце цитирую.

В чём суть уязвимости?

Степень серьёзности ситуации можно оценить по следующей цитате из базы данных уязвимостей NIST:

GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution.

Уязвимости присвоен уровень «10 из 10», то есть хуже некуда. Добавьте к этому лёгкость осуществления атаки (Access Complexity низкий) и, что ещё важнее, отсутствие необходимости аутентификации для использования Bash с помощью CGI-скриптов.

Danyas · 29 Сен 2014

Оффтоп
Таки странная дыра в баш'е, существует 25 лет и никто ее не выкупал.
Скорее всего это "ФИЧА" девелоперов

tiger_by · 29 Сен 2014

Как не крути, все равно явная уязвимость.

Хитрый_Ёжик · 30 Сен 2014

Там вообще веселье только начинается, уже штук 5-6 аналогичных уязвимостей нашли...

Оффтоп

Bash shell shock

tiger_by

Гл. Админ SourceGames.RU

Danyas

Участник

tiger_by

Гл. Админ SourceGames.RU

Хитрый_Ёжик

Участник