Виконання коду в bash

22:02 30.10.2014

25.09.2014

Виявлена можливість виконання коду в bash.

Уразливі версії: bash 4.3.

Можна помістити функцію в зміст будь-якої змінної оточення.

Атака зокрема може проводитися через CGI скрипти, якщо вони написані на bash або відкривають шели. Такі шели використовуються функціями system/popen в C, open/system в Perl (якщо запускається шел, що залежить від командного рядка), os.system/os.popen в Python та system/exec в PHP (в режимі CGI).

30.10.2014

Додаткова інформація.

  • HP StoreAll Operating System Software running Bash Shell, Remote Code Execution (деталі)
  • Security Notice for Bash Shellshock Vulnerability (деталі)
  • HP Remote Device Access: Virtual Customer Access System (vCAS) running Bash Shell, Remote Code Execution (деталі)
  • VMware product updates address critical Bash security vulnerabilities (деталі)
  • HP DreamColor Professional Display running Bash Shell, Remote Code Execution (деталі)
  • the other bash RCEs (CVE-2014-6277 and CVE-2014-6278) (деталі)
  • HP Thin Clients running Bash, Remote Execution of Code (деталі)

Leave a Reply

You must be logged in to post a comment.