Shellshock - уязвимость bash

Начиная с 24 сентября 2014 года исследователи безопасности публикуют информацию о критических уязвимостях в командной оболочке Bash.
Уязвимости Shellshock подвержены все системы использующие bash в качестве shell. Проблема наблюдается во всех версиях, начиная с Bash - 1.14.

Суть проблемы

В переменные окружения возможно передать функцию, в результате эта функция выполнится. Особо критичным является, что все cgi скрипты запускаются из bash окружения, и в http заголовках можно без проблем передать bash скрипт. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни — смартфоны и планшеты, домашние маршрутизаторы, ноутбуки. Уязвимости присвоен максимальный уровень угрозы. А так как для использования Bash с cgi скриптами не требует аутентификации, то последствия взлома могут быть фатальны.

Чем грозит уязвимость?

Злоумышленник может получить доступ к внутренним данным, перенастройке окружения, распространению вирусов… В общем, возможности зловредительства практически не ограничены.

Для исправления уязвимости shellshock CVE-2014-6271 и CVE-2014-7169 в bash необходимого его обновить до последней версии. Для каждой ОС делается по своему:

Проверить уязвим ли ваш сервер, легко командой:

env X="() { :;} ; echo busted" bash -c "echo hello" 

Если версия bash установленная на сервер уязвима, ответ будет:

busted
hello

Если не подвержена уязвимости:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello

либо просто:

hello

Если вы обнаружили уязвимость, свяжитесь срочно с технической поддержкой вашего хостинг провайдера с просьбой исправить уязвимость.

Помните, что все наши программные продукты полностью защищены от взломов, но защита вашего проекта зависит не только от скрипта, поэтому соблюдайте все меры безопасности.

С Уважением, команда CMS AdminStation.