O problema do CGI não é necessariamente ter um CGI escrito em shell script, Alexandre.
Algumas linguagens fornecem chamadas como popen() e exec() que, na maioria das vezes, é só um wrapper para "/bin/sh -c 'parametros do popen ou exec'". O PHP, se não me engano, faz este tipo de coisa. Acho que o Perl também. O que ameniza um pouco a situação é que parece que o pessoal está usando mais FCGI ao invés de CGI, que não deveria ser afetado por este bug no bash. Mas eu acho que a maior vulnerabilidade mesmo é para quem tem clientes DHCP com hooks e o shell que é o próprio bash ou um symlink para o bash. Um administrador (ou alguém que controle o servidor DHCP ou intercepte os pacotes) pode mandar comandos remotos para os clientes, que provavelmente executarão como root. Aí já viu... :) 2014-09-25 11:35 GMT-03:00 Alexandre Mulatinho <a...@mulatinho.net>: > Aparentemente a correção ainda não resolve o problema. É o que tá > rolando aí nos sociais. > > A questão como é que existem pessoas que ainda rodam CGI chamando bash > shell em pleno 2014 e são muitas, você poderia injetar coisas nas > variáveis como por exemplo um simples 'cat /etc/passwd' afim de se > saber os logins dos usuários na máquina remota, talvez isso pareça > pouco mas não é. > > Também tem a questão de que o SSH aceita variáveis de ambientes quando > loga remotamente, você também poderia injetar coisas aí, o httpd > geralmente em quase todas as distribuições roda usando em cima do BASH > e é possível colocar coisas em variáveis como User-Agent para rodar > remotamente. > > Não bastasse isso aqui também tá rolando um segfault bonito, o que dá > espaço pra criar um exploit buffer overflow e talvez até conseguir > acesso remoto a máquina usando apenas "a besteira de um login" trazido > olhando o passwd. Em pleno século XVI ainda tem gente que usa muita > senha fraca. > > [24714.329514] bash[26859]: segfault at 0 ip 00000000004464d0 sp > 00007fff68ddea80 error 4 in bash[400000+f0000] > [25171.499120] bash[27939]: segfault at 0 ip 00000000004464d0 sp > 00007fffc9586eb0 error 4 in bash[400000+f0000] > [25173.635478] bash[27948]: segfault at 0 ip 00000000004464d0 sp > 00007fff1ab7ffe0 error 4 in bash[400000+f0000] > [25180.101048] bash[27962]: segfault at 0 ip 00000000004464d0 sp > 00007fff570501f0 error 4 in bash[400000+f0000] > [25217.061149] bash[28051]: segfault at 0 ip 00000000004464d0 sp > 00007fffb6f237b0 error 4 in bash[400000+f0000] > > Vamos esperar para vêr. O certo é que não acontece com o ZSH, KSH, etc. > > Só um exemplo: > https://twitter.com/JZdziarski/status/515137615126081536/photo/1 > > -- > Alexandre Mulatinho > Weblog: http://alex.mulatinho.net > LinkedIn: http://br.linkedin.com/in/mulatinho > > Em 25 de setembro de 2014 11:17, marcelo nd <nogueiradu...@gmail.com> > escreveu: >> Wed Sep 24 22:52:53 UTC 2014 >> a/bash-4.3.025-x86_64-1.txz: Upgraded. >> >> ftp://ftp.slackware-brasil.com.br/slackware64-current/ChangeLog.txt >> >> >> Em 24 de setembro de 2014 22:45, Max Miorim <miorim...@gmail.com> escreveu: >> >>> Ops... Atualização saiu às 20:30, timezone errado :) >>> >>> 2014-09-24 22:42 GMT-03:00 Max Miorim <miorim...@gmail.com>: >>> > Parece que ainda não está 100% corrigido: >>> > http://seclists.org/oss-sec/2014/q3/659 >>> > >>> > A atualização para o Slackware já foi liberada por volta das 18:30 >>> > (horário de Brasília): >>> > >>> > http://www.slackware.com/security/viewer.php?l=slackware-security&y=2014&m=slackware-security.522193 >>> > >>> > Ainda bem que eu não uso bash. :) >>> > >>> > 2014-09-24 22:35 GMT-03:00 Alexandre Mulatinho <a...@mulatinho.net>: >>> >> Cagada grande no BASH, atualizem quando puder! >>> >> >>> >> >>> >> https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ >>> >> >>> >> Teste: >>> >> >>> >> $ env x='() { :;}; echo ta vuneravel' bash -c "echo escrevendo qualquer >>> >> coisa" >>> >> vulneravel >>> >> escrevendo qualquer coisa >>> >> >>> >> -- >>> >> Alexandre Mulatinho >>> >> Weblog: http://alex.mulatinho.net >>> >> LinkedIn: http://br.linkedin.com/in/mulatinho >>> >> >>> >> -- >>> >> GUS-BR - Grupo de Usuários de Slackware Brasil >>> >> http://www.slackwarebrasil.org/ >>> >> http://groups.google.com/group/slack-users-br >>> >> >>> >> Antes de perguntar: >>> >> >>> >> http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao >>> >> >>> >> Para sair da lista envie um e-mail para: >>> >> slack-users-br+unsubscr...@googlegroups.com >>> >> --- >>> >> Você está recebendo esta mensagem porque se inscreveu no grupo >>> >> "Slackware Users Group - Brazil" dos Grupos do Google. >>> >> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, >>> >> envie um e-mail para slack-users-br+unsubscr...@googlegroups.com. >>> >> Para obter mais opções, acesse https://groups.google.com/d/optout. >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> >>> http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao >>> >>> Para sair da lista envie um e-mail para: >>> slack-users-br+unsubscr...@googlegroups.com >>> --- >>> Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware >>> Users Group - Brazil" dos Grupos do Google. >>> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie >>> um e-mail para slack-users-br+unsubscr...@googlegroups.com. >>> Para obter mais opções, acesse https://groups.google.com/d/optout. >> >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao >> >> Para sair da lista envie um e-mail para: >> slack-users-br+unsubscr...@googlegroups.com >> --- >> Você recebeu essa mensagem porque está inscrito no grupo "Slackware Users >> Group - Brazil" dos Grupos do Google. >> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie >> um e-mail para slack-users-br+unsubscr...@googlegroups.com. >> Para mais opções, acesse https://groups.google.com/d/optout. > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao > > Para sair da lista envie um e-mail para: > slack-users-br+unsubscr...@googlegroups.com > --- > Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware > Users Group - Brazil" dos Grupos do Google. > Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um > e-mail para slack-users-br+unsubscr...@googlegroups.com. > Para obter mais opções, acesse https://groups.google.com/d/optout. -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao Para sair da lista envie um e-mail para: slack-users-br+unsubscr...@googlegroups.com --- Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware Users Group - Brazil" dos Grupos do Google. Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para slack-users-br+unsubscr...@googlegroups.com. Para obter mais opções, acesse https://groups.google.com/d/optout.
