Si tratta del bug di Shellshock (che ha anche il suo tag proprio ):
GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution.
Sono interessati tutti i sistemi che eseguono una versione vulnerabile di Bash e un modo per un utente malintenzionato di iniettare una variabile di ambiente. Il caso più noto è Apache che imposta automaticamente determinate variabili d'ambiente dalla richiesta. Non hai bisogno di un Bash CGI. Leggi questo articolo sui Vettori di exploit di shell shock per un elenco completo .
Per difendersi da questo attacco devi aggiornare il tuo Bash. Per verificare se la tua versione di Bash è vulnerabile, puoi eseguire la seguente riga da @ La grande risposta di EliahKagan :
x='() { :;}; echo VULNERABLE' bash -c :
Vedi Tutto ciò che devi sapere sul bug di Shellshock Bash o il CVE corrispondente per ulteriori informazioni.