Критическая уязвимость в bash

Через HTTP, обратившись к CGI-скрипту, можно делать на сервере что угодно. Например, поставить php-shell и гулять по серверу, как вздумается. Но, это работает, только если CGI-скрипты используют необновлённый bash. Какой именно шел используют CGI-скрипты можно увидеть, запустив, например, такой скрипт на Perl:

#!/usr/bin/perl
print "Content-type: text/plain\n\n";
print `echo \$0`;

Или через SSH выполнить команду (по идее тоже должно показать):

perl -e 'print `echo \$0`';

Вроде бы далеко не всегда используется bash. Но если там выведется bash и его не обновляли, то всё весьма печально.

И тоже далеко не однозначно.

Ведь perl-скрипт не обязательно вызывает шелл. И не обязательно вызовет его и при конкретных странных параметрах. Все зависит от логики скрипта.

На всякий случай конечно надо обновлять.

Как я понял, достаточно в HTTP-запросе к CGI-скрипту в заголовке Referer или Host передать специальный текст и этот текст будет выполнен, даже если скрипт вообще пустой и ничего не делает.

tmatm, будет. но cgi-скрипты на bash - это прикол в пробирке, в дикой природе почти не встречаются. cgi на perl более реальны.

Nam3D, пруфы? Это мне нужно доступы вам предоставить к WMID и двум почтовикам чтобы вы начитались об восстановлении всего этого? Не, обойдетесь!

Летом 2011 или 2012 года было. Вернее так случается постоянно, но я "попал" в это время. Если интересно почитать ищите в гугле информацию об задержании двух хакеров в России осенью того же года. Один из них был учителем информатики.

А после выйдете и на статью хабра, где описано было как ломают во всех технических подробностях, но без инструкции "how to". В этом же топике была и ссылка на новость от дяди Била что мол профиксили (в начале весны).

Вот и вышла bash.x86_64 0:4.1.2-15.el6_5.2 на Centos 6. и не только... Обновляемся :)

Для squeeze (lts), wheezy (security) и sid тоже выкатили обновления.

Хмм... как-то долго...

---------- Добавлено 27.09.2014 в 00:14 ----------

Centos5 - bash-3.2-33.el5_10.4

Centos6 - bash-4.1.2-15.el6_5.2.x86_64

Последняя на шестерку вроде бы как бы новая версия, а вот с пятеркой не совсем понятно, я получил её (обновил) еще до того как прочитал что "выпущенная заплатка не работает", является ли эта версия пофикшеной?

Так проверьте. Команды для проверки есть - дело минутное.

Исходя из http://lists.centos.org/pipermail/centos-announce/2014-September/020582.html и https://access.redhat.com/solutions/1207723, для Centos 5 исправленная версия bash-3.2-33.el5.1

Для CVE-2014-7169

env X='() { (a)=>\' sh -c "echo date"; cat echo

env X='() { (a)=>\' sh -c "echo date"; cat echo

Да я то проверял, файл вроде не создается... выглядит все прилично, но все таки уточнил. 🍿

Теперь заинтересовал другой вопрос, есть парочка серверов на которых стоит с мега давних времен FreeBSD, которая конечно же Out of Date, End Of Life , и.т.п :)) перефетчил порты, bash вообще перестал собираться, судя по всему make "стал другим" не понимает старые параметры, дрянное дело.... вопрос заключается в том, уязвимость актуальна только для применения через cgi ? Если допустим в системе нет сторонних пользователей, а так же нет апача, надо ли патчиться?