Shellshock utilizzato in CUPS

Naviga le tue risposte
0

Qualche giorno fa ho letto del bug di Shellshock e volevo testare un server CUPS e ho letto alcuni codici di esempio per creare questo codice:

() {test;}; echo / "Content-type: text / plain \"; eco; eco; / bin / cat / etc / passwd '" collegamento

L'ho inserito in una stringa di agente utente personalizzata di Firefox e ho visitato lo script cgi.

Ora qualcosa dovrebbe accadere ma non è così. Significa, è sicuro o significa che io fatto un errore con esso?

Devo usare l'arricciatura?

Grazie in anticipo ragazzi: -)

    
posta Thorsten Zwick 23.10.2014 - 14:16
fonte

1 risposta

2

Shellshock è una vulnerabilità nell'interprete della riga di comando di Bash. Potresti essere vulnerabile a Shellshock in base alla tua versione di bash.

Puoi utilizzare bashcheck per verificare se la tua versione di Bash è vulnerabile a shellshock: link

Per verificare se la tua versione di Bash o i tuoi servizi di sistema sono vulnerabili a Shellshock manualmente, controlla la correzione di mubix: link

Riguardo allo sfruttamento di CUPS; lo stai facendo male. Il server HTTP CUPS non esporta le intestazioni HTTP (come "User-Agent" e "Content-Type") alle variabili di ambiente nello stesso modo in cui funziona Apache mod_cgi. Fai riferimento al exploit CUPS al link sopra per verificare se la tua versione di CUPS è vulnerabile. Si noti che CUPS viene eseguito sull'interfaccia di loopback locale 127.0.0.1 per impostazione predefinita e non è vulnerabile all'esecuzione del comando remoto a meno che non sia abilitato l'accesso remoto.

    
risposta data 28.10.2014 - 00:11
fonte

Leggi altre domande sui tag

Come accedere ad Amazon Web Services se si perde il telefono con l'autenticazione a 2 fattori di Google impostata? Lock-a-Folder è un modo sicuro e affidabile per crittografare le informazioni?