Дополнительно
(Telegram отдела продаж)
Начиная с 24 сентября 2014 года исследователи безопасности публикуют информацию о критических уязвимостях в командной оболочке Bash.
Уязвимости Shellshock подвержены все системы использующие bash в качестве shell. Проблема наблюдается во всех версиях, начиная с Bash - 1.14.
Суть проблемы
В переменные окружения возможно передать функцию, в результате эта функция выполнится. Особо критичным является, что все cgi скрипты запускаются из bash окружения, и в http заголовках можно без проблем передать bash скрипт. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни — смартфоны и планшеты, домашние маршрутизаторы, ноутбуки. Уязвимости присвоен максимальный уровень угрозы. А так как для использования Bash с cgi скриптами не требует аутентификации, то последствия взлома могут быть фатальны.
Чем грозит уязвимость?
Злоумышленник может получить доступ к внутренним данным, перенастройке окружения, распространению вирусов… В общем, возможности зловредительства практически не ограничены.
Для исправления уязвимости shellshock CVE-2014-6271 и CVE-2014-7169 в bash необходимого его обновить до последней версии. Для каждой ОС делается по своему:
Проверить уязвим ли ваш сервер, легко командой:
env X="() { :;} ; echo busted" bash -c "echo hello"
Если версия bash установленная на сервер уязвима, ответ будет:
busted hello
Если не подвержена уязвимости:
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' hello
либо просто:
hello
Если вы обнаружили уязвимость, свяжитесь срочно с технической поддержкой вашего хостинг провайдера с просьбой исправить уязвимость.
Помните, что все наши программные продукты полностью защищены от взломов, но защита вашего проекта зависит не только от скрипта, поэтому соблюдайте все меры безопасности.
С Уважением, команда CMS AdminStation.