Squeeze LTS – #shellshock

horonet

26. 9. 2014 10:17:46

Používám ještě Debian Squeeze s úpravou pro LTS.

Včera jsem přes apt-get aktualizoval Bash. Nyní tam je verze 4.1-3+deb6u2.

Pokud dělám testy na zranitelnost z řádky, tak je vše OK. Ale pokud spustím test ze stránky:

https://shellshocker.net/ , tak hlásí že sajta je stále zranitelná. Nevíte někdo, kde by mohl být problém?

26. 9. 2014 10:17:46

https://webtrh.cz/diskuse/squeeze-lts-shellshock#reply1057167

HexaGeek

(18 hodnocení)

26. 9. 2014 10:23:53

bezpecnostni oprava jeste neexistuje.. hotfix ktery je venku resi jen cast problemu. bohuzel je to stale dosti pruser...

26. 9. 2014 10:23:53

https://webtrh.cz/diskuse/squeeze-lts-shellshock#reply1057166

horonet

26. 9. 2014 11:05:57

Napsal HexaGeek;1126882
bezpecnostni oprava jeste neexistuje.. hotfix ktery je venku resi jen cast problemu. bohuzel je to stale dosti pruser...

Dík, tak že i kydž mi tyhle 2 testy projdou jako OK, tak mam přes CGI stále problém. :( koukám na to. další testy už špatně.

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

this is a test

# env X='() { (a)=>' sh -c "echo date"; cat echo

date

cat: echo: No such file or directory

26. 9. 2014 11:05:57

https://webtrh.cz/diskuse/squeeze-lts-shellshock#reply1057165

HexaGeek

(18 hodnocení)

26. 9. 2014 11:07:29

otestjute tohle $ fourfunkce='() { (a)=>' bash -c '/tmp/hack echo HACKED'

pokud tam najdete soubor /tmp/hack jste tam kde nazacatku..

26. 9. 2014 11:07:29

https://webtrh.cz/diskuse/squeeze-lts-shellshock#reply1057164

horonet

26. 9. 2014 11:11:31

Napsal HexaGeek;1126894
otestjute tohle $ fourfunkce='() { (a)=>' bash -c '/tmp/hack echo HACKED'
pokud tam najdete soubor /tmp/hack jste tam kde nazacatku..

Tohle mam ok. :)

# fourfunkce='() { (a)=>' bash -c '/tmp/hack echo HACKED'

bash: /tmp/hack: No such file or directory

# ls /tmp/hack

ls: cannot access /tmp/hack: No such file or directory

26. 9. 2014 11:11:31

https://webtrh.cz/diskuse/squeeze-lts-shellshock#reply1057163

HexaGeek

(18 hodnocení)

26. 9. 2014 11:13:58

trosku divne. melo by to vypadat jinak..ale jeste bych vyckal dnes vyjde u vetsiny distribuci nova vlna update. ktera by to mela rozsireneji osetrit..

26. 9. 2014 11:13:58

https://webtrh.cz/diskuse/squeeze-lts-shellshock#reply1057162

horonet

26. 9. 2014 11:16:05

Jasan. Sleduju to. Díky. Na Debian už vyšly ty aktualizace od včera 2.

26. 9. 2014 11:16:05

https://webtrh.cz/diskuse/squeeze-lts-shellshock#reply1057161

HexaGeek

(18 hodnocení)

26. 9. 2014 11:23:26

Napsal horonet;1126899
Jasan. Sleduju to. Díky. Na Debian už vyšly ty aktualizace od včera 2.

dle me ani jedna neresi co je potreba. Tam bude potreba radikalnejsi zasah do provadeni import/export funkci. Kdyz se podivam na posledni diff mezi verzemi tak furt

je tam otevreno obrovske mnostvi moznosti. Min zapis souboru kamkoliv na disk. Navic v jinych vecech to neni uplne osetreno, napr. debianovsky dash .. dovedu si predstavit par zajimavych konstrukci v perlu. Cela chyba je docela pruser a bude se zehlit hooodne dlouho.. nejistejsi je bloknout vetsinu portu, a ujistit se ze na webovych sluzbach nebezi nic co je vazane na bash (CGI php s popen nebo system) , pripadne PHP hodne izolovat do sandboxu aby pripadny utok pres to provedeny mel co nejmensi dopad.

Uz jen ta krasa a jednoduchos ve zneuziti teto chybu vuci DHCP clientum je pecka. Vraci to hacking do obdobi pred 10-15 lety kde se systemy exploitovaly takovejma kravinkama

26. 9. 2014 11:23:26

https://webtrh.cz/diskuse/squeeze-lts-shellshock#reply1057160

Michal Kubíček