Ho un'idea generale del bug di shellshock bash (CVE-2014-6271 riportato il 24 settembre 2014) su quale sia la vulnerabilità e come possa essere sfruttata. Qui trovi esempi su come sfruttare l'errore originale CVE-2014-6271: Qual è un esempio specifico di come sfruttare il bug di Shellshock Bash?
Nel frattempo, una patch è disponibile sulla maggior parte delle principali distribuzioni che corregge la vulnerabilità iniziale, anche se non completa, di Shellshock.
There is a patch that prevents bash from interpreting anything else than the function definition in there (https://lists.gnu.org/archive/html/bug-bash/2014-09/msg00081.html), and that's the one that has been applied in all the security updates from the various Linux distributions.
However, bash still interprets the code in there and any bug in the interpreter could be exploited. One such bug has already been found (CVE-2014-7169) though its impact is a lot smaller. So there will be another patch coming soon.
CVE-2014-7169 sembra essere meno grave, ma è sicuramente ancora motivo di preoccupazione. Quindi, come sarebbe un exploit di esempio per questo bug rimanente?