Minu mõttearendus jõudis selleni, et kõik vanad live-cd'd tuleks ära visata ...

https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/

ja katse viimase estobuntu isoga virtuaalmasinas:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Ehk vanade isodega lives panka minna võib vaenuliku dhcp otsas pahasti lõppeda

Nüüd on ka openSUSE-l parandus olemas.

% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

% env -i X='() { (a)=>\' bash -c 'echo date';cat echo
date
cat: echo: No such file or directory

% env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
completed

% env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
completed

% bash --version
GNU bash, version 4.2.47(1)-release (x86_64-suse-linux-gnu),
aga Yast ütleb, et Version: 4.2-68.8.1.

Sortsu patch võib ju üleval olla, repodesse tuleb valmis pakk alati viivitusega.

patch on 24ndast üleval:
http://ftp.gnu.org/gnu/bash/bash-4.2-patches/bash42-048
http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-025

Äsja väljaantud patch ei aita lõplikult.Käsk testimiseks:

Kood:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

ei anna enam vastuseks "vulnerable", aga käsud:

Kood:

env -i  X='() { (a)=>\' bash -c 'echo date';cat echo env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed" env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"

näitavad, et endiselt on auk olemas.
Info: https://www.youtube.com/watch?v=W7GaVyzkCs0 8:35 peal,
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html
Veidi abi võib saada SELinuxist, https://danwalsh.livejournal.com/71122.html

E: Paistab, et nüüdseks on ka paranduse parandus väljas ja auk kinni, vähemalt mu hoole all olevad Debian, RHEL, CentOS ja Oracle Linux masinad järjekordse bashi uuenduse järel enam ei "leki"

Põhjalik lugu häkkeriuudistes:
http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html

osx. unix, linux - kõik serveri rakendused, mis kasutavad bashi.. nii sain aru.

(trisquelil täna ka bashi uuendus tehtud.)

VANA VIGA BASHIS ~20 aastat, mida programm lshell conf keelas:

## a list of forbidden character or commands
forbidden : [';', '&', '|','`','>','<', '$(', '${']

seda exploiti saab ssh puhul kasutada ainult siis kui sa oled juba sisse loginud- või olen ma millestki valesti aru saanud?

cgi-ga on muidugi kurvemad lood

PHP kujul
http://www.exploit-db.com/exploits/34766/

mihkel kirjutas:

kui aga bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test siis peaks korras olema.

Vist ei pruugi olla. Mul peale bashi parandust:

% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Aga
% env X='() { (a)=>\' sh -c "echo date"
sh: X: line 1: syntax error near unexpected token `='
sh: X: line 1: `'
sh: error importing function definition for `X'
% cat echo
Thu Sep 25 15:44:15 GMT-2 2014

Jah, tõesti nii ongi!

Just proovisin ühte Ubuntu 14.04 LTS SSH teenusega serverit ja tulemuseks (alert!):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Pärast sudo apt-get update ja sudo apt-get upgrade uuendati ära paketimajandus:
The following packages have been kept back:
linux-generic linux-headers-generic linux-image-generic
The following packages will be upgraded:
apt apt-transport-https apt-utils bash dbus libapt-inst1.5 libapt-pkg4.12
libdbus-1-3

Uueks testi tulemuseks (ok):
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test