[linux] Re: bash-bug
Paul Slootman
paul+nospam op wurtel.net
Vr Sep 26 08:35:39 CEST 2014
On Thu 25 Sep 2014, Nico Bouthoorn wrote:
> Schijnbaar is het ook 'exploitable' via apache met cgi, vandaag mijn
Alleen als je bash cgi scripts gebruikt, _en_ het op de een of andere
manier mogelijk is om een environment variable te zetten _voordat_ die
script gestart wordt.
Voor gewone login accounts maakt het niet uit, de truc met deze exploit
is dat je dingen kunt uitvoeren terwijl je normaal gesproken alleen een
vaste commando voor je kiezen zou krijgen, denk bv. aan een ForceCommand
in je authorized_keys file. Voor accounts die toch al gewoon een shell
krijgen, heeft het bijzonder weinig zin om de shell te veranderen in
tcsh. Anders kun je ook in de sshd config AcceptEnv uitzetten, dan komt
er geen environment mee, en is er niks aan de hand.
Het is een ernstige lek, maar de impact is een stuk minder dan de meeste
mensen denken.
Paul
More information about the Linux
mailing list