Sono sicuro se si naviga in / cgi-bin / restituisce HTTP 403?

4

Mi chiedo se il mio server potrebbe essere vulnerabile a ShellShock (o meglio: era vulnerabile). Il test della shell rivela che sono vulnerabile:

$ export evil='() { :;}; echo vulnerable'; bash -c echo;
vulnerable

Non ho bisogno di CGI per nessuno dei miei siti web, ma per sicurezza, ho provato grep -i "cgi" * sulla mia cartella di file di configurazione Apache. Purtroppo ho scoperto che alcuni dei miei siti hanno comunque delle voci CGI, come questo:

    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
            AllowOverride None
            Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
            Order allow,deny
            Allow from all
    </Directory>

Tuttavia, non ci sono file in /usr/lib/cgi-bin

$ ll /usr/lib/cgi-bin/
total 0

E dopo un test, ottengo un errore HTTP 403:

$ curl -i -X HEAD "http://example.com/cgi-bin/" -A '() { :;}; echo "Warning: Server Vulnerable"'
HTTP/1.1 403 Forbidden
Date: Thu, 25 Sep 2014 22:22:32 GMT
Server: Apache/2.2.14 (Ubuntu)
Vary: Accept-Encoding
Content-Type: text/html; charset=iso-8859-1

Posso concludere tranquillamente che il mio server non è vulnerabile a un attacco CGI in questo caso? In caso contrario, un diverso comando curl mostra la vulnerabilità? E sarebbe sufficiente rimuovere le definizioni /cgi-bin/ dai file di configurazione di Apache?

    
posta Thomas Weller 26.09.2014 - 00:36
fonte

1 risposta

5

No, non puoi concludere quello dall'errore 403. Se il server restituisce un errore 403 per una directory, ciò significa semplicemente che non è possibile elencare il contenuto della directory o che la directory ha una pagina di indice a cui non è consentito l'accesso; questo è molto comune per cgi-bin directory.

Tuttavia, è possibile concludere che non sei vulnerabile perché non ci sono file nella directory /cgi-bin/ : qualsiasi tentativo di invocare la vulnerabilità "shellshock" comporterà semplicemente che Apache risponda all'attaccante con un "404 non trovato "errore.

Puoi (e probabilmente dovresti) disabilitare CGI, ma questo è semplicemente perché disabilitare la funzionalità inutilizzata è una buona pratica di sicurezza in generale, piuttosto che essere in risposta a qualsiasi minaccia specifica.

    
risposta data 26.09.2014 - 00:52
fonte

Leggi altre domande sui tag