<div dir="ltr"><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">If an attacker has remote control of environment variables think of the damage that can be done with LD_LIBRARY_PATH. <br></blockquote><div><br></div><div>The issue here is that it can be expolited through ANY environment variable. So, the env variables that pass things to CGI are vulnerable. You can exploit it with a variable called X. TERM even works.<br><br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div>This exploit seems to be about bash specifically, and specifically about ways to set environment variables.  But really, I just don't want set-an-environment-variable to ever happen.<br></div></blockquote><div><br></div><div>I agree, I don't WANT it to happen either. But, what I want, and what actually happens within my organization are two completely different things. I've got several pieces of commercial off-the-shelf software running on multiple servers that make use of CGI scripts. I don't have the ability to tell my customers that they can't have that software anymore, and I don't have the resources (or legal right in many cases) to modify it to do something saner than CGI. Best practice != real environment.<br><br></div><div>But, whatever... It's probably a big issue for most enterprises; the information is out there, so patch if you think it important enough... Or don't.<br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 25, 2014 at 10:37 AM, Mark Farver <span dir="ltr"><<a href="mailto:mfarver@mindbent.org" target="_blank">mfarver@mindbent.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">If an attacker has remote control of environment variables think of the damage that can be done with LD_LIBRARY_PATH.  Upload a file to a harmless path on webserver and use the library path to link it into an executable running in a CGI env.  Instant remote code execution.</p>
<p dir="ltr">Many applications have buffer overflows in environment handling.  Remote code execution or denial of service.</p>
<p dir="ltr">Basically environment variables are not terribly secure and have not received a lot of security analysis.  If you let an attacker control them for a process running as another user there are probably vectors there.  <br><span class="HOEnZb"><font color="#888888"><br></font></span></p><span class="HOEnZb"><font color="#888888">
<p dir="ltr">Mark </p></font></span><div class="HOEnZb"><div class="h5">
<div class="gmail_quote">On Sep 25, 2014 8:55 AM, "Michael Mol" <<a href="mailto:mikemol@gmail.com" target="_blank">mikemol@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Sep 25, 2014 at 8:16 AM, Adam Tauno Williams<br>
<<a href="mailto:awilliam@whitemice.org" target="_blank">awilliam@whitemice.org</a>> wrote:<br>
> On Wed, 2014-09-24 at 15:08 -0400, Mark Farver wrote:<br>
>> I think it is a stretch to label this remotely exploitable.<br>
><br>
> Ditto.  This is a theoretical exploit of a system that has issues.<br>
<br>
I'd like to hear your explanation of this. Why would a system have to<br>
have "issues" for this to be exploitable? (Outside of the obvious that<br>
it's running a vulnerable version of bash.)<br>
<br>
--<br>
:wq<br>
_______________________________________________<br>
grlug mailing list<br>
<a href="mailto:grlug@grlug.org" target="_blank">grlug@grlug.org</a><br>
<a href="http://shinobu.grlug.org/cgi-bin/mailman/listinfo/grlug" target="_blank">http://shinobu.grlug.org/cgi-bin/mailman/listinfo/grlug</a><br>
</blockquote></div>
</div></div><br>_______________________________________________<br>
grlug mailing list<br>
<a href="mailto:grlug@grlug.org">grlug@grlug.org</a><br>
<a href="http://shinobu.grlug.org/cgi-bin/mailman/listinfo/grlug" target="_blank">http://shinobu.grlug.org/cgi-bin/mailman/listinfo/grlug</a><br></blockquote></div><br></div>