Shellshock bug relevant für FF?

apo · September 26, 2014, 4:56am

Hallo,

Haben wir ein konkretes Problem mit shellshock? Ich gehe davon aus, dass bash sowieso auf den Knoten drauf ist. Aber ist es remote erreichbar? Ohne SSH post-auth?

Info: Troy Hunt: Everything you need to know about the Shellshock Bash bug
Danke
apo

fragstone · September 26, 2014, 5:15am

Auf Gluon 0.5 läuft keine bash. Da ist eine Busybox drauf die davon „bisher“ NICHT betroffen ist.

–cut–
root@FF-KR-WEIDEN01:/bin# env x=’() { :;}; echo vulnerable’ ash -c „echo this is
a test“
this is a test
–cut–

Falls eine Community hier aber auf OpenWRT oder was anderes (selbstgesticktes) nutzt, kann die Sache schon anders aussehen und muss im Einzelfall noch einmal geprüft werden.

Hat wer eine andere Meinung?

Gruß
Thomas

Java · September 29, 2014, 11:16am

Habs mal auf 0.4+0-exp20140617 probiert.

BusyBox v1.19.4 (2014-06-15 22:38:55 CEST) built-in shell (ash)
Enter ‚help‘ for a list of built-in commands.

$env x=’() { :;}; echo vulnerable’ bash -c „echo this is a test“
env: can’t execute ‚bash‘: No such file or directory

also alles supi

fragstone · September 29, 2014, 11:23am

Na dann schauen wir mal was noch auf uns zukommt.
Hoffe mal nicht, das es sich bis zur Busybox durchschlägt.
Da kann aber noch so einiges kommen.

Shellshock bug relevant für FF?

$env x=’() { :;}; echo vulnerable’ bash -c „echo this is a test“ env: can’t execute ‚bash‘: No such file or directory

$env x=’() { :;}; echo vulnerable’ bash -c „echo this is a test“
env: can’t execute ‚bash‘: No such file or directory