Title: Обнаружен метод обхода исправления уязви Post by: bee7 on September 25, 2014, 03:47:52 PM http://www.securitylab.ru/news/458769.php:
Quote С помощью целевых атак на конкретные CGI-скрипты злоумышленник может расширить область их действия. Сегодня, 25 сентября, портал SecurityLab сообщал о критической уязвимости в командной оболочке bash, которая позволяет удаленно выполнить код. Брешь, просуществовавшая в течение 22 лет, была исправлена в среду, 24 сентября. Тем не менее, пользователи Reddit сообщили о том, что патч можно обойти. Подробнее: http://www.securitylab.ru/news/458769.php Еще ссылки по теме: http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html#.VCQ4g3WSxX9 http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html#.VCQ4o3WSxX9 http://www.bit-tech.net/news/bits/2014/09/25/shellshock/1 Title: Re: Обнаружен метод обхода исправления уязв Post by: AndySt on September 27, 2014, 03:46:59 AM Ждём выхода нового патча. В чём прелесть и одновременно недостаток открытых решений в области программного обеспечения - все недостатки и уязвимости на виду, поэтому можно оперативно указывать на возможные проблемы и решать.
Title: Re: Обнаружен метод обхода исправления уязв Post by: bee7 on September 27, 2014, 03:51:47 AM Ждём выхода нового патча. В чём прелесть и одновременно недостаток открытых решений в области программного обеспечения - все недостатки и уязвимости на виду, поэтому можно оперативно указывать на возможные проблемы и решать. Всё уже пропатчили еще вчера. И RHEL и Fedora и Ubuntu выпустили обновления (про остальных ничего не знаю). На счет Apple не знаю тоже - вроде были возгласы, что пока молчат. Едит: Плохо то, что есть много железа с веб-менеджментом, которое использует баш в качестве шелла и, само собой, самые классические CGI скрипты, о которых речь и идет. |