Shellshock bug relevant für FF?

apo · 26. September 2014 um 04:56

Hallo,

Haben wir ein konkretes Problem mit shellshock? Ich gehe davon aus, dass bash sowieso auf den Knoten drauf ist. Aber ist es remote erreichbar? Ohne SSH post-auth?

Info: Troy Hunt: Everything you need to know about the Shellshock Bash bug
Danke
apo

fragstone · 26. September 2014 um 05:15

Auf Gluon 0.5 läuft keine bash. Da ist eine Busybox drauf die davon „bisher“ NICHT betroffen ist.

–cut–
root@FF-KR-WEIDEN01:/bin# env x=’() { :;}; echo vulnerable’ ash -c „echo this is
a test“
this is a test
–cut–

Falls eine Community hier aber auf OpenWRT oder was anderes (selbstgesticktes) nutzt, kann die Sache schon anders aussehen und muss im Einzelfall noch einmal geprüft werden.

Hat wer eine andere Meinung?

Gruß
Thomas

Java · 29. September 2014 um 11:16

Habs mal auf 0.4+0-exp20140617 probiert.

BusyBox v1.19.4 (2014-06-15 22:38:55 CEST) built-in shell (ash)
Enter ‚help‘ for a list of built-in commands.

$env x=’() { :;}; echo vulnerable’ bash -c „echo this is a test“
env: can’t execute ‚bash‘: No such file or directory

also alles supi

fragstone · 29. September 2014 um 11:23

Na dann schauen wir mal was noch auf uns zukommt.
Hoffe mal nicht, das es sich bis zur Busybox durchschlägt.
Da kann aber noch so einiges kommen.

Shellshock bug relevant für FF?

$env x=’() { :;}; echo vulnerable’ bash -c „echo this is a test“ env: can’t execute ‚bash‘: No such file or directory

$env x=’() { :;}; echo vulnerable’ bash -c „echo this is a test“
env: can’t execute ‚bash‘: No such file or directory