On Fri, Sep 26, 2014 at 11:13:37AM +0200, a.furi...@lqt.it wrote: > sono particolarmente vulnerabili ad attacchi esterni i web > servers Apache che usano CGI basate su Bash
In realtà è molto peggio, è sufficiente eseguire una system() (anche se la shell di default non fosse bash) sotto qualsiasi webapp 'canonica' per esempio in PHP per usare tale vulnerabilità. Per evitare questo tipo di problemi il server andrebbe eseguito per esempio sotto una root priva di bash o dovrebbe utilizzare altri metodi di hardening (cosa che andrebbe comunque fatta in caso di usi 'promiscui' del server) -- Francesco P. Lovergine _______________________________________________ Gfoss@lists.gfoss.it http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666+40 iscritti al 5.6.2014
