新しいbash攻撃(shellshock)はどれほど深刻ですか? [コピー]

新しいbash攻撃(shellshock)はどれほど深刻ですか? [コピー]

私は次の内容を読んだ。リモートバッシュエクスプロイト特にパッチがリリースされた後、新しい脆弱性が発見されたので、これがどれほど深刻なのか、心配する必要があるのだろうか。

Debianをデフォルトのデスクトップオペレーティングシステムとして使用することは私にとって何を意味しますか?私が知っておくべきことがありますか?

答え1

TL;DR(別名まとめ)

  • はい、心配する必要があります。
  • はい、これは深刻な問題です(完全に見知らぬ人があなたのファイルとリソースを完全に制御する可能性を提供します)。

デスクトップだけでなくサーバーもアップグレードする必要があります。

https://security.stackexchange.com/questions/68156/is-connecting-to-an-open-wifi-router-with-dhcp-in-linux-susceptible-to-shellshoc)

DHCPクライアントは、dhclient-scriptサーバーから渡されたシェル変数を使用します。不良/破損したルーターがある場合は、domain-name脆弱性を悪用して修正された変数を渡す可能性があります。

クレジット取引:スティーブン・チャジェラス表示マイケル・ザレフスキー

さらに、多くのデスクトップはOpenSSHを使用しています。http://seclists.org/oss-sec/2014/q3/650(ログインしているユーザーの場合 - ネットワークの不良インサイダーとも呼ばれます)。そのバグを最初に報告した記者によると、スティーブン・チャジェラスOpenSSHの脆弱性はSSHForcedCommand設定のバイパスに関するものです。

ただし、この問題に対する完全な修正はまだ提供されていません。http://seclists.org/oss-sec/2014/q3/679)。

バラよりhttps://access.redhat.com/articles/1200223考えられる解決策。 Debianはまだアップグレードを発表しておらず、彼らのウェブサイトでこれについての議論を見つける時間がありませんでした。

(注:2番目の提案はテデン;これは〜になります非常にStéphane ChazelasがShellshockの正式なQ&Aを書くことができれば良いでしょう。 )

関連情報