Bash specially-crafted environment variables code injection attack

David Pasek david.pasek at gmail.com
Thu Sep 25 20:43:00 CEST 2014


Ahoj,

tak mi to nedalo a precetl jsem si k tomu detaily a fakt to je problem
bashe a jeho pripadne pouziti z apache ruznymi exekutory CGI skriptu
nevyjimaje perl, python, apod.
Priznam se, ze jsem podobnych veci v minulosti napsal hodne a utocnik se
takto muze dostat do systemu s pravy web serveru (treba apache nebo thttpd,
apod.)
No a pak uz je to asi o tom s jakym uzivatelem ten web server bezi a co se
s tim da kompromitovat.

2014-09-25 18:41 GMT+02:00 David Pasek <david.pasek at gmail.com>:

> Systemy jiz nastesti neadministruji, ale co jsem v kuluarech slysel, tak
> se to rozhodne netyka jen bashe, ale nejakych knihoven, ktere bash pouziva
> pro zpracovani ENV variables. A bash pry neni zdaleka jediny, kdo je
> pouziva. Dalsi kdo je pouziva je pry apache a to je asi jeste vyrazne vetsi
> problem nez zranitelnost bashe.
>
>
Omlouvam se za predchozi mystifikaci ohledne nejakych knihoven. Psal jsem,
ze to byla kuluarova informace :-)

David.


More information about the Users-l mailing list