Проверьте присутствует ли уязвимость:
env X="() { :;} ; echo busted" bash -c "echo stuff"
Если в выводе содержится "busted", дыра Shellshock присутствует.
Как это выглядит на уязвимой машине под управлением Debian OpenVZ VPS:
Вверху видно что текущая версия Bash это 4.2.
Теперь латаем дыру.
Обновляем список пакетов.
apt-get update
Проверьте свою версию баша. В моем случае это была 4.2+dfsg-0.1+deb7u3. Обновите баш. Здесь описано как выбрать определенную версию пакета для установки в случае если доступны несколько.
apt-get install bash=4.2+dfsg-0.1+deb7u3
Воткак выглядит пропатченный сервер:
Старая версия была 4.2+dfsg-0.1, после обновления стала 4.2+dfsg-0.1+deb7u3. Ну и последний тест, в результате которого значение busted
не выводится.
Источник: http://habrahabr.ru/company/mailru/blog/238475/
No comments:
Post a Comment