Intereting Posts
Тестирование Debian не позволяет получить информацию о экране и контролировать яркость с помощью Gnome 3.21.90 Как отслеживается прогресс команды в трубе, если только размер ее ввода известен заранее? Объединить jq-выход в строку с разделителями-запятыми Сценарий с датой ввода, выходным днем Назначьте несколько переменных окружения одной переменной и расширьте их по команде Сделать mpv отображаемое имя ссылки youtube при воспроизведении только аудио Разрешения на просмотр контента json.cpp: 474: 23: фатальная ошибка: curl / curl.h: нет такого файла или каталога grep: специальный символ + Лучшая практика обновления собственного приложения Как инициализировать глобальный, ассоциативный массив только для чтения в Bash? Перейдите в каталог, содержащий пробел Runlevel3 (systemd) – цель для Opensuse 13.2 запускает GUI Пошаговое резервное копирование FTP на локальный компьютер Пользователь RBAC не может выполнить useradd в Solaris 10

Какова серьезность нового использования bash (shellshock)?

Альтернативное название: Должен ли я беспокоиться?

Я читал об удаленном эксплорете bash и задавался вопросом, насколько он серьезен, и если я должен волноваться, тем более, что после выхода исправления был обнаружен новый эксплойт.

Что это значит для меня, как для тех, кто использует Debian в качестве основной настольной ОС? Есть ли что-нибудь, о чем я должен знать?

TL; DR (aka executive summary)

  • Да, вы должны волноваться.
  • Да, это серьезно (давая полные незнакомцы потенциально полный контроль над вашими файлами и ресурсами).

Вы обязательно должны обновить свой рабочий стол AS WELL AS на любых серверах.

( https://security.stackexchange.com/questions/68156/is-connecting-to-an-open-wifi-router-with-dhcp-in-linux-susceptible-to-shellshoc )

DHCP-клиент использует dhclient-script который использует переменные оболочки, переданные с сервера. Если есть маршрутизатор с взломом / взломом, он может передавать измененные переменные domain-name с помощью эксплойта.

Кредиты: Стефан Хазелас , Марк , Михал Залевский

Кроме того, на многих настольных компьютерах используется OpenSSH, который определенно уязвим по http://seclists.org/oss-sec/2014/q3/650 (хотя для зарегистрированных пользователей – ака-аутсайдеров в вашей сети). Согласно оригинальному репортеру ошибки Stéphane Chazelas , уязвимость OpenSSH заключается в обходе настроек ssh ForcedCommand .

Обратите внимание, однако, что полное исправление проблемы еще не доступно ( http://seclists.org/oss-sec/2014/q3/679 ).

См. https://access.redhat.com/articles/1200223 для возможных обходных путей. Debian еще не опубликовал обновление, и у меня не было времени найти соответствующую дискуссию на своем сайте.

(NB: Во-вторых, предложение terdon , было бы очень приятно, если бы Стефан Chazelas мог записать каноническое Q & A на Shellshock.)