Уязвимость так себе, т.к. ее применение требует наличия доступа к удаленному серверу.
c0dex, http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html
http://www.ubuntu.com/usn/usn-2362-1/
Дополнение 2: Проведена попытка массового сканирования серверов на предмет наличия уязвимости в Bash. Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён домена таких сайтов может оказаться в 50 раз больше). Организация целевых атак на конкретные CGI-скрипты, например, на /cgi-sys/defaultwebpage.cgi из CPanel позволяет как минимум в 10 раз расширить область действия атаки. Так как уязвимость очень проста в эксплуатации не исключается появление в ближайшее время червей, нацеленных на поражение конкретных проблемных CGI-скриптов.
ну а как же модный fast-cgi? журналисты они такие, есть cgi в названии, значит вульнираблеЗачем здесь это журналистское кудахтанье? Сухого остатка там ноль. Даже РНР ни к селу, ни к городу притянули.
Какие журналисты? http://www.opennet.ru/opennews/art.shtml?num=40667ну а как же модный fast-cgi? журналисты они такие, есть cgi в названии, значит вульнирабле
я про 3днеуз и пхпКакие журналисты? http://www.opennet.ru/opennews/art.shtml?num=40667
Уязвимость дает право изменить переменные окружения, отсюда - любая команда от имени рута.Ничего не понял. Уязвимость дает права на выполнение команд тем, у кого уже есть права на выполнение команд?
лолшто?Уязвимость дает право изменить переменные окружения, отсюда - любая команда от имени рута.
Переменные окружения где? В своём процессе?Уязвимость дает право изменить переменные окружения, отсюда - любая команда от имени рута.