ShellShock

Die ShellShock Verwundbarkeit ist dieses Jahr nach Heartbleed bereits die zweite Sicherheitslücke, die eine breite Medien-Abdeckung erhielt. Vor allem in Verbindung mit einem mangelhaften Design (CGIs) kann es vorkommen, dass man über diesen Bug beliebige Kommandos im User-Kontext ausführen kann.

Wenn Sie Ihre Systeme auf diese Schwachstelle testen wollen, muss der Scanner über einen privilegierten Zugang zu den Systemen verfügen. Es gibt zwar Tests, die eine Erkennung via http / https versprechen, diese sind jedoch kaum aussagekräftig.

Alternativ können Sie zum Testen auf ShellShock auch folgendes Kommando manuell ausführen:

env check='Not vulnerable' x='() { :;}; check=Vulnerable' bash -c 'echo $check'