Informace k chybě interpretu BASH „ShellShock“

Informace pro zákazníky společnosti LinuxBox.cz k aktuální chybě interpretu BASH „ShellShock“.

Chtěli bychom tímto reagovat na publikovanou chybu software BASH v Linuxu, tzv. „ShellShock“ (viz např. upozornění www.root.cz/clanky/dira-v-bashi-ktere-si-20-let-nikdo-nevsiml). Na všech námi spravovaných serverech byla tato chyba téhož dne (25.9.2014) opravena, tzn. dotčený software (balíček) byl nahrazen novější verzí (v některých zdrojích uváděno jako „druhá oprava“).

Naše servery však nebyly chybou ohroženy, a to z těchto důvodů:

  • SSH přístup na servery není veřejně povolen
  • uživatelé nemají přidělen bash
  • neprovozujeme software, který by pomocí CGI skriptů či příkazů PHP spouštěl příkazy v bashi
  • servery nemají zapnutého DHCP klienta (nemůže tedy dojít ke zneužití ze strany napadeného DHCP serveru)