Bash specially-crafted environment variables code injection attack
David Pasek
david.pasek at gmail.com
Thu Sep 25 20:43:00 CEST 2014
Ahoj,
tak mi to nedalo a precetl jsem si k tomu detaily a fakt to je problem
bashe a jeho pripadne pouziti z apache ruznymi exekutory CGI skriptu
nevyjimaje perl, python, apod.
Priznam se, ze jsem podobnych veci v minulosti napsal hodne a utocnik se
takto muze dostat do systemu s pravy web serveru (treba apache nebo thttpd,
apod.)
No a pak uz je to asi o tom s jakym uzivatelem ten web server bezi a co se
s tim da kompromitovat.
2014-09-25 18:41 GMT+02:00 David Pasek <david.pasek at gmail.com>:
> Systemy jiz nastesti neadministruji, ale co jsem v kuluarech slysel, tak
> se to rozhodne netyka jen bashe, ale nejakych knihoven, ktere bash pouziva
> pro zpracovani ENV variables. A bash pry neni zdaleka jediny, kdo je
> pouziva. Dalsi kdo je pouziva je pry apache a to je asi jeste vyrazne vetsi
> problem nez zranitelnost bashe.
>
>
Omlouvam se za predchozi mystifikaci ohledne nejakych knihoven. Psal jsem,
ze to byla kuluarova informace :-)
David.
More information about the Users-l
mailing list