Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 4 subscribers
  • Views 8312 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bash security vulnerbility

thefuzz4
Hey Everyone,

With the new news (SHELL SHOCK: Bash bug blows holes in Unix, Linux, OS X systems) about the bash shell today do we know if and when Sophos is going to release a patch for this?  

I apologize if I'm posting this in the wrong section but well none of the other sections looked like this belonged in there.  Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    Even if SSH is enabled and exposed to the internet, an attacker must authenticate before they can get access to the shell, and be able to exploit shell shock. The bigger risk is web services that may use bash cgi scripts, and specifically, may use environment variables to directly store user submitted data. In these cases, shell shock may allow an unprivileged user to do something on a web server's shell with some privilege. 

    @Gaston, I suspect someone accidentally published the article that Bruce linked before it was ready, and that's why it's not available now. It will be re-posted once all the necessary details have been gathered.

    Bruce's summary of the to-be-posted article covers the most important bits for UTM. Effectively, UTM does not appear to be vulnerable to attack from shell shock, and an update will be released later to update bash. We'll post more details publicly, later today, so keep an eye on Sophos Blog | Security made simple and Naked Security | Computer Security · News · Opinion · Advice · Research for more. Info will be posted to both, so stay tuned.
Reply
  • 0
    Even if SSH is enabled and exposed to the internet, an attacker must authenticate before they can get access to the shell, and be able to exploit shell shock. The bigger risk is web services that may use bash cgi scripts, and specifically, may use environment variables to directly store user submitted data. In these cases, shell shock may allow an unprivileged user to do something on a web server's shell with some privilege. 

    @Gaston, I suspect someone accidentally published the article that Bruce linked before it was ready, and that's why it's not available now. It will be re-posted once all the necessary details have been gathered.

    Bruce's summary of the to-be-posted article covers the most important bits for UTM. Effectively, UTM does not appear to be vulnerable to attack from shell shock, and an update will be released later to update bash. We'll post more details publicly, later today, so keep an eye on Sophos Blog | Security made simple and Naked Security | Computer Security · News · Opinion · Advice · Research for more. Info will be posted to both, so stay tuned.
Children
  • 0 in reply to AlanT_01
    My only concern with this was the webserver security within UTM since it is using what appears to be apache.  I know its acting as a reverse proxy and I don't have anything using CGI exposed to the public but I just wondered for others.
Unfiltered HTML