Shellshock

ShellShock

| Kommentar hinterlassen

Die ShellShock Verwundbarkeit ist dieses Jahr nach Heartbleed bereits die zweite Sicherheitslücke, die eine breite Medien-Abdeckung erhielt. Vor allem in Verbindung mit einem schlechten Design (CGIs) kann es vorkommen, dass man über diesen Bug beliebige Kommandos im User-Kontext ausführen kann.

Wenn Sie Ihre Systeme auf diese Schwachstelle testen wollen, muss der Scanner über einen privilegierten Zugang zu den Systemen verfügen. Es gibt zwar Tests, die eine Erkennung via http / https versprechen, diese sind jedoch kaum aussagekräftig.

Alternativ können Sie zum Testen auf ShellShock auch folgendes Kommando manuell ausführen:

env check='Not vulnerable' x='() { :;}; check=Vulnerable' bash -c 'echo $check'

Das obige Kommando gibt entweder ‚Vulnerable‘ oder ‚Not vulnerable‘ aus.

Schreiben Sie einen Kommentar

Required fields are marked *.