La prueba de concepto para SSH: http://www.zdziarski.com/blog/?p=3905
El 26 de septiembre de 2014, 10:01, Clever Flores <[email protected]> escribió: > El bug explotable remotamente sólo si el servicio/proceso/cgi lee los > entornos de variables de Bash > > Aquí una prueba de concepto para explotar la vulnerabilidad en un CGI > > http://packetstormsecurity.com/files/128394/Bash-Code-Injection-Proof-Of-Concept.html > > > 2014-09-26 9:24 GMT-05:00 Yonsy Solis <[email protected]>: > >> >> >> On Fri, Sep 26, 2014 at 8:54 AM, Jose Sabastizagal < >> [email protected]> wrote: >> >> FYI >>> >>> José Alejandro Sabastizagal Orellana >>> http://www.42.com.pe >>> http://www.sabastizagal.com >>> >> >> RedHat y Canonical han liberado updates de bash corrigiendo la >> vulnerabilidad, ambas liberaron un release incompleto al inicio, y hace >> unas 8 horas mas o menos atras ambas lanzaron el update final en sus >> releases (Redhat, CentOS y Ubuntu LTS) la vulnerabilidad renombrada al >> final fue CVE-2014-7169 >> >> https://access.redhat.com/security/cve/CVE-2014-7169 >> https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-7169 >> https://access.redhat.com/articles/1200223 >> >> http://www.ubuntu.com/usn/usn-2362-1/ >> http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-6271.html >> http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-7169.html >> >> P.D. bueno, yo lo primero que hago en un server es apt-get install >> zsh/yum install zsh y de ahi chsh -s $(which zsh) >> >> >> Yonsy Solis >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php >> >> Alojamiento de listas cortesia de http://cipher.pe >> > > > > -- > Clever Flores > Arquitecto de Sistemas, Infraestructura y Seguridad > http://cleverflores.blogspot.com > RPM #971149678 > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe > -- Luis M. Ibarra
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
