Sobre todo si teneis un servidor web ..
ACTUALIZAD BASH
BocaDePez
⋮
Pocos servidores web van con CGI hoy día.
✖
pfff. en slashdot dicen que afecta llamadas a system(), que a su vez invoca bash :S ....
✖
BocaDePez
⋮
system() llama a /bin/sh, que podrá ser bash o no dependiendo de la distribución. Por ejemplo, en Debian es dash.
✖
exacto :)
BocaDePez
⋮
Pues en unos 10 minutos se encuentran unos 3.000 servidores afectados... así que si, muchos van con CGI aún.
✖
BocaDePez
⋮
Pues se lo merecen, porque vamos, CGI en 2014, hay que joderse.
Es como usar telnet en lugar de ssh.
✖
BocaDePez
⋮
Sí, igualito.
✖
BocaDePez
⋮
⋮
Un poco mas de información para saber de que va el tema xD.
Por que como si me hablaran en chino.
✖
busca 'shellshock bash'
BocaDePez
2
⋮
Ejemplo tonto: imagina el servidor de banda ancha. Cuando te sientas frente al ordenador y seleccionas "Bandaancha" en tus favoritos, el navegador le dice al servidor:
"Dame el contenido de index.html"
Y el servidor le devuelve el código de la página principal, junto con las imágenes, la publicidad, etc.
Lo que explota este ataque es una vulnerabilidad que hace posible que tú puedas decirle al servidor:
"Dame el contenido de index.html llena tu disco duro de ceros"
o
"Dame el contenido de index.html manda este virus a las direcciones de correo de todos los registrados"
o
"Dame el contenido de index.html comienza a hacer ataques DOS a www.apple.com"
Y el servidor te haga caso y ejecute ambos comandos.
Como han dicho ya, esto se va a explotar fundamentalmente vía CGI (un medio para ejecutar código en el servidor), y CGI es de lo más "Windows 98". Pero aún hay gente que lo usa porque, simplemente, funciona y lo hace bien.
✖
⋮
gracias, ya entiendo de que va el tema.
BocaDePez
⋮
El apache que tengo sirve peticiones con procesos bajo el usuario www-data.
✖
BocaDePez
⋮
Entonces leerán los archivos de configuración de tu CMS y se harán un bonito dump de tu base de datos.
✖
BocaDePez
⋮
Qué pena.