[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux_var] shellshock quali sw a rischio ?

To: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>
Subject: Re: [linux_var] shellshock quali sw a rischio ?
From: Luca Lesinigo <luca@lesinigo.it>
Date: Fri, 26 Sep 2014 16:05:04 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1411740251; bh=cgQtcRwtf5+72Okw9SUzwwxu9v0oCNv4IT7WC5avY3A=; h=From:In-Reply-To:Date:References:To:Subject:Reply-To:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe; z=From:=20Luca=20Lesinigo=20<luca@lesinigo.it>|In-Reply-To:=20<CAGo d1SBAZ9Htw0MF=3DnRQjV_DpE17k0s00q-AejAW=3DGYKF2nByg@mail.gmail.com >|Date:=20Fri,=2026=20Sep=202014=2016:05:04=20+0200|References:=20 <CAGod1SBAZ9Htw0MF=3DnRQjV_DpE17k0s00q-AejAW=3DGYKF2nByg@mail.gmai l.com>|To:=20linux_var=20-=20LUG=20di=20Varese=20e=20Provincia=20M ailing=20List=20<talking@ml.linuxvar.it>|Subject:=20Re:=20[linux_v ar]=20shellshock=20quali=20sw=20a=20rischio=20?|Reply-To:=20linux_ var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=0D=0A =20<talking@ml.linuxvar.it>|List-Id:=20linux_var=20-=20LUG=20di=20 Varese=20e=20Provincia=20Mailing=20List=0D=0A=20<talking.ml.linuxv ar.it>|List-Unsubscribe:=20<http://ml.linuxvar.it/cgi-bin/mailman/ options/talking>,=0D=0A=20<mailto:talking-request@ml.linuxvar.it?s ubject=3Dunsubscribe>|List-Archive:=20<http://ml.linuxvar.it/piper mail/talking/>|List-Post:=20<mailto:talking@ml.linuxvar.it>|List-H elp:=20<mailto:talking-request@ml.linuxvar.it?subject=3Dhelp>|List -Subscribe:=20<http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talk ing>,=0D=0A=20<mailto:talking-request@ml.linuxvar.it?subject=3Dsub scribe>; b=uvvoMZWvIV1eDfp/JLLAqIXEYlPu1fSYo/bYeQkEj6SzvduxFp08JlU2WViBl9Pzp 3DZLH+xOWRXs9vCRjjCqQMp53e5cNsix26axQ7kCHGPBey72E8ahWEbYgfEF1Z5MHW M2R9/Stwsj6KMUwsLcY09RDhjUC0PWLeFwLyulO8=
In-reply-to: <CAGod1SBAZ9Htw0MF=nRQjV_DpE17k0s00q-AejAW=GYKF2nByg@mail.gmail.com>
List-archive: <http://ml.linuxvar.it/pipermail/talking/>
List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>
List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>
List-post: <mailto:talking@ml.linuxvar.it>
List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>
List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>
References: <CAGod1SBAZ9Htw0MF=nRQjV_DpE17k0s00q-AejAW=GYKF2nByg@mail.gmail.com>
Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>
Sender: "Talking" <talking-bounces@ml.linuxvar.it>

Il giorno 26/set/2014, alle ore 12:42, Giovanni Orlandi <orlangio@gmail.com> ha scritto:
> a proposito della vulnerabilità della shell bash, quali configurazioni sono a rischio ?
Per farla breve è potenzialmente vulnerabile qualsiasi cosa in cui puoi infilare dati e farli arrivare ad una bash.

Esempi molto stupidi:
- il semplice eseguire uno script php su mod_php od un eseguibile ELF / perl / python / ruby tramite CGI-BIN non sono vulnerabili
- se lo script php invoca una shell bash e gli passa dati forniti dall'utente esterno, può essere vulnerabile
- se per eseguire il tuo CGI-BIN passi da una shell bash, può essere vulnerabile
- se accedi via SSH ad un utente che anziché avere una shell normale è "blindato" da un qualche script bash, può essere vulnerabile

Qui uno dei migliori riassunti che ho visto:
	http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

--
Luca Lesinigo

_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

References:
- [linux_var] shellshock quali sw a rischio ?
  - From: Giovanni Orlandi <orlangio@gmail.com>

Prev by Date: Re: [linux_var] Nerd cercasi
Next by Date: [linux_var] Olimex boards
Previous by thread: Re: [linux_var] shellshock quali sw a rischio ?
Next by thread: [linux_var] Olimex boards
Index(es):
- Date
- Thread