今天在公司做这个应急,也与不少人讨论利用以及应急方案。
此漏洞影响范围说大也大,说小也小,影响面主要是:
+ 纯 bash,并且以 cgi-bin 方式搭建的网站
+ ssh
+ gitlib
+ rsync 貌似也中枪
+ 诸多硬件设备
首先纯 bash 搭建的网站的确很少,但是还是存在。但是目测大家不会这样做..另外 python 和 php 是不影响的(话不能说的太死,总之暂时没有 exp)。
另外,更新了 bash 之后的利用我还没进行测试成功(所以更新是有用的),明天再复现一下。
ssh 这个需要私钥登录,利用倒是可以用来 bypass sandbox 的样子。
gitlab 这个貌似 csdn 中枪的样子。
最惨痛的目测是硬件设备。
另外咱真的想吐槽下某云上黑阔跟打了鸡血一样。
另外关注一些动态可以去
seclist.org这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/135728
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.