El 26/09/14 a las #4, låzaro escribió:
Thread name: "Re: [Gutl-l] La falla "bash" podría permitir que los hackers ataquen a
través de una bombilla"
Mail number: 14
Date: Fri, Sep 26, 2014
In reply to: Matthias Apitz
El día Friday, September 26, 2014 a las 04:23:26PM -0400, låzaro escribió:
caramba matias, para eso se necesita saltarse una pila de barreras
primero. Tal malvado que lograse ejecutar bash una vez, ejecutaría rm,
no esperaría a setearlo.
Esto sólo ha sido un ejemplo para mostrar cómo el problema funciona
exactamente. Muchas veces en scripts de CGI-BIN o en CUPS valores dados
son puestos en vars de ambiente (env var) y después un script es ejecutado,
y si esto es un lanzar de un bash... bingo.
matthias
--
Matthias Apitz | /"\ ASCII Ribbon Campaign:
E-mail: g...@unixarea.de | \ / - No HTML/RTF in E-mail
WWW: http://www.unixarea.de/ | X - No proprietary attachments
phone: +49-170-4527211 | / \ - Respect for open standards
| en.wikipedia.org/wiki/ASCII_Ribbon_Campaign
ya eso parece una explicación más racional, CGI-BIN siempre ha sido
una bola de peligros, igual que apache... pero BOMBILLOS?!!!
APRETARON!
El problema es que hay muchos dispositivos embebidos con interfaces de
administración web que por detrás lo que corren son cgi que invocan
comandos, lo he visto en routers y APs para wifi. No creo que estén
"apretando" tanto, mejor no confiarse.
saludos,
--
MSc. Dariem Pérez Herrera
Dpto. de Sistema Operativo
Centro de Software Libre (CESOL)
Universidad de las Ciencias Informáticas, Cuba
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
