Las tres opciones enumeradas en la versión CERT (AcceptEnv TERM y SSH_ORIGINAL_COMMAND) son todas opciones del lado del servidor. Si ninguno de estos está configurado en un host (y no hay ningún vector http disponible), ¿el host es seguro, incluso si Bash permanece sin fijar? Si configuro AcceptEnv = HACK en el servidor openssh, ¿no debería funcionar esto?
HACK='() { :;}; /usr/bin/touch /tmp/illegal' ssh user@host
Debería estar a salvo del lado ssh, pero también hay otros vectores, como dhclient-script .
Por cierto, solo eres realmente "vulnerable" a través de SSH si tienes usuarios con acceso restringido (por ejemplo, chroot o sftp-only). Si todos sus usuarios tienen acceso total a la shell, entonces aunque puedan ejecutar comandos utilizando esta vulnerabilidad, podrían hacerlo de todos modos.
Tienes razón, por lo que puedo decir. Si no se establece AcceptEnv , un cliente remoto no puede obtener el servidor SSH para procesar cualquier variable de entorno.
Tenga en cuenta que puede ejecutar un comando a través de SSH como un cliente autenticado y obtener ese comando para cargar su variable de entorno diseñada. Por lo tanto, si tiene binario setuid / setgid ejecutando un script Bash , esto podría usarse para comprometer su sistema por un usuario autenticado local o remotamente a través de SSH.
Lea otras preguntas en las etiquetas exploit ssh bash shellshock