Mi chiedo se il mio server potrebbe essere vulnerabile a ShellShock (o meglio: era vulnerabile). Il test della shell rivela che sono vulnerabile:
$ export evil='() { :;}; echo vulnerable'; bash -c echo;
vulnerable
Non ho bisogno di CGI per nessuno dei miei siti web, ma per sicurezza, ho provato grep -i "cgi" * sulla mia cartella di file di configurazione Apache. Purtroppo ho scoperto che alcuni dei miei siti hanno comunque delle voci CGI, come questo:
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
Tuttavia, non ci sono file in /usr/lib/cgi-bin
$ ll /usr/lib/cgi-bin/
total 0
E dopo un test, ottengo un errore HTTP 403:
$ curl -i -X HEAD "http://example.com/cgi-bin/" -A '() { :;}; echo "Warning: Server Vulnerable"'
HTTP/1.1 403 Forbidden
Date: Thu, 25 Sep 2014 22:22:32 GMT
Server: Apache/2.2.14 (Ubuntu)
Vary: Accept-Encoding
Content-Type: text/html; charset=iso-8859-1
Posso concludere tranquillamente che il mio server non è vulnerabile a un attacco CGI in questo caso? In caso contrario, un diverso comando curl mostra la vulnerabilità? E sarebbe sufficiente rimuovere le definizioni /cgi-bin/ dai file di configurazione di Apache?