[vpsFree.cz: community-list] Ãtoky na bash bÄžÃ
Stanislav Petr
glux at glux.org
Mon Sep 29 14:21:17 CEST 2014
je uplne jedno jestli na danem serveru to lze zneuzit nebo ne. jde o to ze je to signal toho ze admin je ignorant a kasle na bezpecnostni aktualizace. a takovahle chyba bashe lze zneuzit nejen primo prez cgi, ale napriklad kombinaci s jinou chybou (ruzne formy injectingu v interpretovanych jazycich, atd...). takze rict ze nejakej server jenom proto ze nema pustenej apache neni zneuzitelnej proste nejde...
29. září 2014 13:42:37 CEST, Jirka Bourek <trekker.dk at abclinuxu.cz> napsal:
>Petr Krcmar wrote:
>> Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
>>> V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
>>> napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a
>zkusíme
>>> na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě
>nemají
>>> záplatu (a zveřejním nějakou statistiku).
>>
>> Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
>> Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
>>
>
>Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně
>_zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit
>binárku (nebo jak jste to testovali), ale druhá věc je, jestli na tom
>serveru běží nějaké služby, přes které se ta chyba opravdu dá zneužít.
>_______________________________________________
>Community-list mailing list
>Community-list at lists.vpsfree.cz
>http://lists.vpsfree.cz/listinfo/community-list
--
Odesláno z mého telefonu s Androidem pomocí pošty K-9 Mail. Omluvte prosím moji stručnost.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20140929/2181bd8e/attachment-0002.html>
More information about the Community-list
mailing list