[erledigt] Apache: Bash Kommandos via XSS usw...

[suleiman]

Bei YoLinux gibt es einen Bash-CGI Artikel, dadurch habe ich dies Erfahren.
Nun will ich wissen ob es noch aktuell ist und ob man sich dagegen Schützen muss?

Ich meine damit einen direkten Angriff gegen den Server, bevor ein Script überhaupt gestartet wird.
Angeblich soll der Server die Variaben selbst auch auswerten.

Nachtrag:
Ich hatte gestern einen Artikel übers Möchtegernhacken gelesen und da wurden 3 Möglichkeiten aufgelistet um XSS zum Erfolg zu bringen.
Eine richtet sich an der User/Client wenn eine bestimmte Seite auf gemacht wird, die andere Möglichkeit war CGI-Skripts anzusprechen.

Was ich aber verwunderlich fand war die dritte Methode, da wurde der Server manipuliert.
Ich hab nicht genau verstanden worum es da ging, aber irgendwas mit Speicher. Layer, und Hex-Zahlen.
Wenn man sich da durch kämpft dann bekommt man sein eigenen Prozess und kann damit so Dinger machen wie "touch /tmp/owned".

Wie man die CGI Sachen blockt kläre ich in einem anderen Post.
Hier soll es nur um die Server Attacken gehen und wie ich das verhindern kann, oder ob ich das überhaupt muss.

[suleiman]

Ich habe einen der Beiträge wieder gefunden ...
http://www.acunetix.com/blog/articles/c ... erability/
Darin steht was ich schon versucht habe zu beschreiben.

The vulnerability is related to the way environment variables are parsed before running the BASH shell. It is possible to create environment variables that include function definitions. BASH processes the trailing strings after these function definitions, allowing the possibility of remote code execution.

[suleiman]

Wie und wo muß ich nach gucken ob ich davon betroffen bin ?

Angeblich soll die GNU Bash bis Version 4.3 davon betroffen sein.
Steht zumindest auf der Seite von National Vulnerability Database, ganz unten.

Code: Alles auswählen

admin@suse:~$ bash --version
GNU bash, Version 4.3.30(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
Lizenz GPLv3+: GNU GPL Version 3 oder jünger <http://gnu.org/licenses/gpl.html>

Dies ist freie Software.  Sie darf verändert und verteilt werden.
Für den größtmöglichen gesetzlich zulässigen Umfang wird jede Haftung ausgeschlossen.

Also bin ich davon betroffen ?

[eggy]

dpkg -l bash sagt, welche Version man installiert hat
rausfinden was/was/wie/ob in Debian gepatched wurde:
CVE-Nr + Debian in die Suchmachine Deiner Wahl
in dem Fall gabs folgenden Treffer: https://security-tracker.debian.org/tra ... -2014-6271
in Ruhe lesen, "not vulnarable" (manchmal entstehen Fehler durch Hinzufügen von neuem Code und Versionen in Stable sind daher nicht betroffen) oder "fixed" geben Hinweis welche Version sich auf Deinem System mindestens befinden sollte (Achtung Bugreport war von 2014, möglich, dass es inzwischen noch andere Sachen gab, aber deswegen hat man ja die Security-Updates aktiviert), evtl noch die verlinkten Referenzen (DSA, Bugtracker etc) zum weiteren Informationsgewinn berücksichtigen

[suleiman]

Ok, vielen dank für die Antwort.
Dann kann ich beruhigt schlafen heute xD