29 Sep
2014
29 Sep
'14
12:21 p.m.
je uplne jedno jestli na danem serveru to lze zneuzit nebo ne. jde o to ze je to signal
toho ze admin je ignorant a kasle na bezpecnostni aktualizace. a takovahle chyba bashe lze
zneuzit nejen primo prez cgi, ale napriklad kombinaci s jinou chybou (ruzne formy
injectingu v interpretovanych jazycich, atd...). takze rict ze nejakej server jenom proto
ze nema pustenej apache neni zneuzitelnej proste nejde...
29. září 2014 13:42:37 CEST, Jirka Bourek <trekker.dk(a)abclinuxu.cz> napsal:
Petr Krcmar wrote:
Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně
_zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit
binárku (nebo jak jste to testovali), ale druhá věc je, jestli na tom
serveru běží nějaké služby, přes které se ta chyba opravdu dá zneužít.
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Odesláno z mého telefonu s Androidem pomocí pošty K-9 Mail. Omluvte prosím moji
stručnost.
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
> V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
> napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a
zkusíme
> na nich upravenou proměnnou. Upozorníme
uživatele, kteří ještě
nemají
záplatu
(a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.