... ze nekdo napise takovej blabol na zive/idnes/... to jeste dokazu pochopit, ale ze tentyz blabol bude na lupe, kde bych predpokladal alespon minimalni uroven schopnosti zjistit si zakladni info ...
Bezpecnostni riziko spojeny s touhle chybou je naprosto marginalni. Jak jiz bylo receno, krabicky bash z 90% nemaji vubec, protoze pouzivaji lehci interprety, a apache v bezne konfiguraci spusteni scriptu vubec nedovoli. Takze by se pripadny zneuzivac nejdriv musel na stroj prihlasit.
Vážně? A co třeba DHCP? https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/
A existuje spoustu dalších zpusobů, ne jenom cgi v apachi http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html
Kolik % linuxovych stroju neni v pozici serveru? Kolik ‰ serveru pouziva dhcp ? Linuxovych desktopu s dhcp klientem jsou stovky milionu? Vazne? Dhcp lze poslat po internetu? Vazne?
A pak jsme u toho, kolik % z tech serveru provozuje treba prave web, ktery umoznuje spoustet scripty, a zaroven jehoz autor kasle na osetreni vstupu? To je samozrejme otazka. Malo jich asi nebude, ale asi nejde o nic na tema "zitra umre internet".
No, například u nás ve firmě má 99% lidí laptop s Linuxem nebo Mac. Chápu že Linux je na desktopu minoritní platforma, nicméně ti kdo ho používají mají jsou často v dost zajímavých pozicích (IT s přístupem na spoustu serverů, apod.). Jasně, DHCP se po internetu běžně neprovozuje no ale spousta lidí cestuje a připojuje se na hotelové wifiny, hipsteři chodí do Starbucksu apod. Sem tam nějaká ta IT konference s wifi připojením ... například teď o víkendu LinuxDays, ideální příležitost k útoku na obecenstvo z 99% používajících Linux/Mac,
Takže ono to ani na desktopu tak netriviální množství lidí není.
ČLÁNKY DO MAILU