CVE-2014-6271: Удалённое выполнение кода через bash

2

4

Сабж. Подробнее. Немного болтовни от RH, включает векторы атаки Предлагаемый патч (RH)

Current bash versions use an environment variable named by the function name, and a function definition starting with “() {” in the variable value to propagate function definitions through the environment. The vulnerability occurs because bash does not stop after processing the function definition; it continues to parse and execute shell commands following the function definition. For example, an environment variable setting of
VAR=() { ignored; }; /bin/id
will execute /bin/id when the environment is imported into the bash process. (The process is in a slightly undefined state at this point. The PATH variable may not have been set up yet, and bash could crash after executing /bin/id, but the damage has already happened at this point.)

The major attack vectors that have been identified in this case are HTTP requests and CGI scripts. Here is a sample
If you have a username in your authorization header this could also be an attack vector.
Another attack surface is OpenSSH through the use of AcceptEnv variables. As well through TERM and SSH_ORIGINAL_COMMAND. An environmental variable with an arbitrary name can carry a nefarious function which can enable network exploitation. This is fire bad.

Это, мягко говоря, СЕРЬЁЗНО.

Ссылка

←	А может быть такое....

физическая защита сетевых устройств

→

bash решето. zsh рулит.

Shadow1251 ★
(24.09.14 18:45:59 MSK)

Ответ на: комментарий от Shadow1251 24.09.14 18:45:59 MSK

Из скольких дистрибутивов можно выпилить bash без ударов в бубен?

x3al ★★★★★
(24.09.14 18:47:04 MSK) автор топика

Ответ на: комментарий от x3al 24.09.14 18:47:04 MSK

Имеешь ввиду полное удаление или отказ от использования?

Shadow1251 ★
(24.09.14 18:50:22 MSK)

Ответ на: комментарий от Shadow1251 24.09.14 18:50:22 MSK

Another attack surface is OpenSSH through the use of AcceptEnv variables.

И этим дело не заканчивается. Убирать bash из шеллов всех юзеров и проверять каждый shebang?

x3al ★★★★★
(24.09.14 18:52:30 MSK) автор топика

я не понимаю как это можно эксплуатировать?

вот например eval переменной $PS4 от рута в лимитированном sudo - ясно, а тут?

bl ★★★
(24.09.14 18:55:27 MSK)

Ответ на: комментарий от bl 24.09.14 18:55:27 MSK

Вторая цитата для Ъ. Быдлокода на баше, который может быть связан с интернетами — полно.

x3al ★★★★★
(24.09.14 18:57:25 MSK) автор топика

Ссылка

Ответ на: комментарий от bl 24.09.14 18:55:27 MSK

Выполнение произвольного кода при старте интерпретатора

Black_Shadow ★★★★★
(24.09.14 19:01:20 MSK)

Ответ на: комментарий от Black_Shadow 24.09.14 19:01:20 MSK

как удаленно изменить переменную среды окружения?
в примере приводится случай «в конфиг сетевухи положить». если иметь возможность положить в конфиг сетевухи, тогда почему нельзя положить в /etc/profile ?

bl ★★★
(24.09.14 19:08:05 MSK)

Ответ на: комментарий от bl 24.09.14 19:08:05 MSK

CGI-скрипту передать

Black_Shadow ★★★★★
(24.09.14 19:10:14 MSK)

Ссылка

Ответ на: комментарий от bl 24.09.14 19:08:05 MSK

https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment...

x3al ★★★★★
(24.09.14 19:11:35 MSK) автор топика

Ссылка

Ответ на: комментарий от x3al 24.09.14 18:52:30 MSK

А за юзеров то что переживать, privilege escalation ведь нет? Ведь openssh+AcceptEnv относится к случаю, когда у пользователя вместо интерактивного шела запускается bash-cкрипт. Или я не правильно понял?

mky ★★★★★
(27.09.14 17:55:35 MSK)

Ответ на: комментарий от mky 27.09.14 17:55:35 MSK

Ограниченный шелл может быть bash-скриптом. Когда вместо доступа к тому же git у людей внезапно появляется шелл — это privilege escalation.

x3al ★★★★★
(27.09.14 19:30:01 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	А может быть такое....

Security

физическая защита сетевых устройств

→

Похожие темы