¿Se puede usar shellshock en un sistema con páginas web públicas pero acceso restringido al servidor?

Navega tus respuestas
1

Quiero saber si mis servidores siguen siendo vulnerables en las siguientes condiciones ...

  1. Mis servidores son privados, solo yo y los desarrolladores de confianza tienen acceso a ellos
  2. Hemos habilitado ejecutables dentro de PHP / Node / Python, pero nunca usamos la función de publicar / obtener datos.
  3. Tenemos algunas páginas web públicas.
  4. Editar : para aclarar: PHP y Python no se ejecutan a través de mod_cgi
pregunta Boz 26.09.2014 - 10:28
fuente

1 respuesta

1

Para responder a su pregunta: 1. No existe una amenaza SHELLSHOCK siempre y cuando usted y sus co-desarrolladores estén conscientes de qué variable de entorno está implementando o modificando (si corresponde).

  1. Al habilitar los ejecutables, ¿quiere decir que llama al sistema binario a través del shell? Si su Python o PHP se ejecuta a través de mod_cgi, existe una vulnerabilidad incluso si no utiliza los datos GET o POST. Que yo sepa, mod_python, mod_php no está comprometido con la amenaza.

  2. La exposición de la página pública abre la misma vulnerabilidad que se menciona en el punto 2 siempre que se ejecuten a través de mod_cgi.

respondido por el codarrior 26.09.2014 - 15:52
fuente

Lea otras preguntas en las etiquetas

Escáner de vulnerabilidad dentro de AWS ¿Está mejorando el token de autenticación de la API REST sin estado o lo abandona por la persistencia de la base de datos?