Aparentemente a correção ainda não resolve o problema. É o que tá rolando aí nos sociais.
A questão como é que existem pessoas que ainda rodam CGI chamando bash shell em pleno 2014 e são muitas, você poderia injetar coisas nas variáveis como por exemplo um simples 'cat /etc/passwd' afim de se saber os logins dos usuários na máquina remota, talvez isso pareça pouco mas não é. Também tem a questão de que o SSH aceita variáveis de ambientes quando loga remotamente, você também poderia injetar coisas aí, o httpd geralmente em quase todas as distribuições roda usando em cima do BASH e é possível colocar coisas em variáveis como User-Agent para rodar remotamente. Não bastasse isso aqui também tá rolando um segfault bonito, o que dá espaço pra criar um exploit buffer overflow e talvez até conseguir acesso remoto a máquina usando apenas "a besteira de um login" trazido olhando o passwd. Em pleno século XVI ainda tem gente que usa muita senha fraca. [24714.329514] bash[26859]: segfault at 0 ip 00000000004464d0 sp 00007fff68ddea80 error 4 in bash[400000+f0000] [25171.499120] bash[27939]: segfault at 0 ip 00000000004464d0 sp 00007fffc9586eb0 error 4 in bash[400000+f0000] [25173.635478] bash[27948]: segfault at 0 ip 00000000004464d0 sp 00007fff1ab7ffe0 error 4 in bash[400000+f0000] [25180.101048] bash[27962]: segfault at 0 ip 00000000004464d0 sp 00007fff570501f0 error 4 in bash[400000+f0000] [25217.061149] bash[28051]: segfault at 0 ip 00000000004464d0 sp 00007fffb6f237b0 error 4 in bash[400000+f0000] Vamos esperar para vêr. O certo é que não acontece com o ZSH, KSH, etc. Só um exemplo: https://twitter.com/JZdziarski/status/515137615126081536/photo/1 -- Alexandre Mulatinho Weblog: http://alex.mulatinho.net LinkedIn: http://br.linkedin.com/in/mulatinho Em 25 de setembro de 2014 11:17, marcelo nd <[email protected]> escreveu: > Wed Sep 24 22:52:53 UTC 2014 > a/bash-4.3.025-x86_64-1.txz: Upgraded. > > ftp://ftp.slackware-brasil.com.br/slackware64-current/ChangeLog.txt > > > Em 24 de setembro de 2014 22:45, Max Miorim <[email protected]> escreveu: > >> Ops... Atualização saiu às 20:30, timezone errado :) >> >> 2014-09-24 22:42 GMT-03:00 Max Miorim <[email protected]>: >> > Parece que ainda não está 100% corrigido: >> > http://seclists.org/oss-sec/2014/q3/659 >> > >> > A atualização para o Slackware já foi liberada por volta das 18:30 >> > (horário de Brasília): >> > >> > http://www.slackware.com/security/viewer.php?l=slackware-security&y=2014&m=slackware-security.522193 >> > >> > Ainda bem que eu não uso bash. :) >> > >> > 2014-09-24 22:35 GMT-03:00 Alexandre Mulatinho <[email protected]>: >> >> Cagada grande no BASH, atualizem quando puder! >> >> >> >> >> >> https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ >> >> >> >> Teste: >> >> >> >> $ env x='() { :;}; echo ta vuneravel' bash -c "echo escrevendo qualquer >> >> coisa" >> >> vulneravel >> >> escrevendo qualquer coisa >> >> >> >> -- >> >> Alexandre Mulatinho >> >> Weblog: http://alex.mulatinho.net >> >> LinkedIn: http://br.linkedin.com/in/mulatinho >> >> >> >> -- >> >> GUS-BR - Grupo de Usuários de Slackware Brasil >> >> http://www.slackwarebrasil.org/ >> >> http://groups.google.com/group/slack-users-br >> >> >> >> Antes de perguntar: >> >> >> >> http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao >> >> >> >> Para sair da lista envie um e-mail para: >> >> [email protected] >> >> --- >> >> Você está recebendo esta mensagem porque se inscreveu no grupo >> >> "Slackware Users Group - Brazil" dos Grupos do Google. >> >> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, >> >> envie um e-mail para [email protected]. >> >> Para obter mais opções, acesse https://groups.google.com/d/optout. >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> >> http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao >> >> Para sair da lista envie um e-mail para: >> [email protected] >> --- >> Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware >> Users Group - Brazil" dos Grupos do Google. >> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie >> um e-mail para [email protected]. >> Para obter mais opções, acesse https://groups.google.com/d/optout. > > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao > > Para sair da lista envie um e-mail para: > [email protected] > --- > Você recebeu essa mensagem porque está inscrito no grupo "Slackware Users > Group - Brazil" dos Grupos do Google. > Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie > um e-mail para [email protected]. > Para mais opções, acesse https://groups.google.com/d/optout. -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao Para sair da lista envie um e-mail para: [email protected] --- Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware Users Group - Brazil" dos Grupos do Google. Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para [email protected]. Para obter mais opções, acesse https://groups.google.com/d/optout.
