Срочно в номер. Уязвимость в BASH

[Активист]

Всем срочно обновиться.

http://www.3dnews.ru/902506

 

[С.]

Зачем здесь это журналистское кудахтанье? Сухого остатка там ноль. Даже РНР ни к селу, ни к городу притянули.

 

[c0dex]

Особенно радует, что ни слова о том, что же эта за уязвимость и какой вектор

 

[Активист]

Уязвимость пизд..тц.

У меня на всех серверах (Лени, Визи, Джесси) пришли обновления. В SID в т.ч. новый баш пришел.

http://www.opennet.ru/opennews/art.shtml?num=40667

 

[флоппик]

Уязвимость так себе, т.к. ее применение требует наличия доступа к удаленному серверу.
c0dex, http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html
http://www.ubuntu.com/usn/usn-2362-1/

 

[флоппик]

В убунте кстати, если кто не помнит, /bin/sh -> dash, а не баш

 

[Активист]

Уязвимость так себе, т.к. ее применение требует наличия доступа к удаленному серверу.
c0dex, http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html
http://www.ubuntu.com/usn/usn-2362-1/

Дополнение 2: Проведена попытка массового сканирования серверов на предмет наличия уязвимости в Bash. Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён домена таких сайтов может оказаться в 50 раз больше). Организация целевых атак на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi из CPanel позволяет как минимум в 10 раз расширить область действия атаки. Так как уязвимость очень проста в эксплуатации не исключается появление в ближайшее время червей, нацеленных на поражение конкретных проблемных CGI-скриптов.

 

[флоппик]

CGI ? WAT ?

 

[флоппик]

Ну, шареды хапнут говна лопату. Это печально, да. Но кто что-то серьезное на шареде делает?

 

[Breeze]

Зачем здесь это журналистское кудахтанье? Сухого остатка там ноль. Даже РНР ни к селу, ни к городу притянули.

ну а как же модный fast-cgi? журналисты они такие, есть cgi в названии, значит вульнирабле

 

[Активист]

ну а как же модный fast-cgi? журналисты они такие, есть cgi в названии, значит вульнирабле

Какие журналисты? http://www.opennet.ru/opennews/art.shtml?num=40667

 

[Breeze]

Какие журналисты? http://www.opennet.ru/opennews/art.shtml?num=40667

я про 3днеуз и пхп

 

[fixxxer]

Единственный реальный вариант эксплуатации, который я вижу - обход restricted git shell через whitelisted переменную среды.

На шареды пофигу, сами виноваты.

 

[grigori]

Этот баг касается тех, кто поддерживает не очень контролируемую инфраструктуру.
Тем, кто пишет на php или просто держит сайты - оно как-то пофиг.
Если даем git или sftp по ssh - этому аккаунту надо отключать shell-интерпретатор. Я так делаю.

 

[Absinthe]

Ничего не понял. Уязвимость дает права на выполнение команд тем, у кого уже есть права на выполнение команд?

 

[grigori]

Absinthe, иногда есть право выполнить только определенную команду, например: cgi-скрипты, шелл в git, суидные скрипты, sudo /etc/init.d/nginx restart
пример

 

[Активист]

Ничего не понял. Уязвимость дает права на выполнение команд тем, у кого уже есть права на выполнение команд?

Уязвимость дает право изменить переменные окружения, отсюда - любая команда от имени рута.

 

[флоппик]

Уязвимость дает право изменить переменные окружения, отсюда - любая команда от имени рута.

лолшто?

 

[AnrDaemon]

Уязвимость дает право изменить переменные окружения, отсюда - любая команда от имени рута.

Переменные окружения где? В своём процессе?
Не надо нагонять панику, тут это не прокатывает.

 

[grigori]

флоппик, AnrDaemon, хватит, проходили, опять та же песня. у Активист специфика - хостинг, неконтролируемые приложения, вас его проблемы не очень касаются