È possibile utilizzare shellshock su un sistema con pagine Web pubbliche ma con accesso limitato al server?

1

Voglio sapere se i miei server sono ancora vulnerabili nelle seguenti condizioni ...

  1. I miei server sono privati - solo io e gli sviluppatori fidati abbiamo accesso a loro
  2. Abbiamo abilitato gli eseguibili in PHP / Node / Python - ma non usiamo mai i dati post / get.
  3. Abbiamo alcune pagine web pubbliche.
  4. Modifica - per chiarire - PHP e Python non funzionano tramite mod_cgi
posta Boz 26.09.2014 - 10:28
fonte

1 risposta

1

Per rispondere alla tua domanda: 1. Non esiste una minaccia SHELLSHOCK finché tu ei tuoi co-sviluppatori siete consapevoli della variabile d'ambiente che state inserendo o modificando (se ve ne sono).

  1. Abilitando gli eseguibili, vuoi dire che chiami il sistema binario tramite shell? Se Python o PHP sono in esecuzione tramite mod_cgi, esiste una vulnerabilità anche se non si utilizzano dati GET o POST. Per quanto ne so, mod_python, mod_php non è compromesso alla minaccia.

  2. L'esposizione della pagina pubblica apre la stessa vulnerabilità di cui al punto 2 a condizione che vengano eseguiti tramite mod_cgi.

risposta data 26.09.2014 - 15:52
fonte

Leggi altre domande sui tag