ShellShock could be used to hack VoIP systems
Storm-2372 used the device code phishing technique since August 2024 | SECURITY AFFAIRS MALWARE NEWSLETTER ROUND 33 | Security Affairs newsletter Round 511 by Pierluigi Paganini – INTERNATIONAL EDITION | U.S. CISA adds Apple iOS and iPadOS and Mitel SIP Phones flaws to its Known Exploited Vulnerabilities catalog | Attackers exploit recently disclosed Palo Alto Networks PAN-OS firewalls bug | China
OpenVPN Vulnerable to Shellshock Bash Vulnerability
OpenVPN was found to be vulnerable to the Shellshock vulnerability in Bash as well. Fredrik Stromberg of Mullvad said the vulnerability is dangerous because it’s pre-authentication in OpenVPN. OpenVPN wasn’t immune to the Heartbleed vulnerability in OpenSSL, and it’s not going to sidestep Shellshock either. Fredrick Stromberg, cofounder of Mullvad, a Swedish VPN company, reported that OpenVPN serv
「Shellshock」関連の脆弱性をさらに確認 |
Linux などで使用されるオープンソースプログラム「Bourne Again shell(bash)」に存在する脆弱性「Shellshock」が最初に発見されてから、さまざまな問題が bash に確認されています。これは意外なことではありません。OpenSSL に存在する脆弱性「Heartbleed」も発覚後、OpenSSL に存在するさまざまな脆弱性が確認されました。今回の bash と「Shellshock」においても、同様のことが繰り返されています。 ■脆弱性「Shellshock」の概要 2014年10月2日現在、脆弱性「Shellshock」に関する脆弱性識別子 CVE は6つ公開されています。この脆弱性を利用した遠隔からの攻撃は、bashシェルのよく知られた機能に関係しています。それは、入力値や関数を環境変数に割り当てることを可能にする機能です。これらの不具合は、シンタックス
Linuxアプライアンス類もBash脆弱性対策を - .@sknn's tumblr.
[NEW] 2014/09/30: アプライアンスの対応状況まとめを随時更新中 CVE-2014-6271及びCVE-2014-7169ねた(Bash脆弱性)。 世間では、外部公開サーバー(特にWebサーバー)への対処が着々と進められています。Webサーバーだけでなく、メールサーバーへの攻撃パターンも早期に見付かっています。外部公開サーバーに対する総合的な点検が近いうちに進んでいくものと思われます。 bash Shellshock through MAIL .forward / qmail-alias piping (ML program etc.) CVE-2014-6271 http://t.co/QPbSE8dppM http://t.co/AFuHudkCdh September 26, 2014しかし、一般的なサーバー類だけでなく主にファイアウォールの内部に設置されているアプライ
Shellshockの影響が及ぶケースをまとめてみた - piyolog
ここではBashの脆弱性 ShellShockの影響が及ぶケースとして情報が出ているものをまとめます。記載情報はpiyokangoが見つけた情報をまとめているだけであり、当該脆弱性による影響が及ぶケースをすべて網羅しているわけではありませんのでご注意ください。 関連情報 bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた 影響が及ぶケースの前提条件 対象のシステムでBashの脆弱性(CVE-2014-6271、CVE-2014-7169)が修正されていない 攻撃方法 方法 具体例 条件 能動的 ExploitをHTTPリクエストやメール等を使って送り付ける (参考)BASHの脆弱性でCGIスクリプトにアレさせてみました 攻撃者が対象へ直接接続可能 受動的 Exploitを仕込んだ罠ページを設置し攻撃対象に踏ませる (参考)ファイアウォール内の
bash 脆弱性対応: ソースからビルドする | update.hirochan.org
いまどきのOSですと大抵パッケージ管理の仕組みがあるので、yum なりapt-get なり ports update なりで対応可能ですが、ちょっと古めのOSだとサポート切れになっていたりしてパッケージシステムでは対応できないこともあります。 bashの脆弱性(CVE-2014-6271,CVE-2014-7169 )の対応を手元のFreeBSD 8.3 でやろうとしたころ、 portsがどうもおかしくなっているようで8.4に上げる必要がありそう。bashだけのためにOSを上げるは避けたかったので、GNU本家からソースを取ってきて対応しました。 意外と世の中にその方法が書いてないなーという気がしたので、忘備録としてまとめときます。基本的にLinuxでも同じ方法でできるはずです。 こちらのサイトを参考にしました。 [2014/10/02 11:28 追記: 以下で入手しているパッチではCVE
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。 #記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。 脆弱性情報 脆弱性の愛称 ShellShock Bashbug CVE番号 Bash周りで発行されているCVEは6つ。その内詳細が不明なのが2つ。(CVE-2014-6277,CVE-2014-6278) CVE 発見者 想定脅威 特記 CVE-2014-6271 Stephane Chazelas氏 任意のコード実行 ShellShockの発端となったバグ。 CVE-2014-7169 Tavis Ormandy氏 任意のコード実行 CVE-2014-6271修正漏れによる脆弱性 CVE-2014-7186 Redhat DoS メモリ破壊(Out-of-Bo
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
