
<html>

  <head>


    <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <tt>Hello all,<br>

      <br>

      The following email addresses a serious security issue (10/10 note

      on severity) which may/may not affect existing<br>

      OpenSIPS-based platforms. [1]<br>

      <br>

      The issue was disclosed in September and is commonly named

      "Shellshock". You can read all about it on Wikipedia [2].<br>

      Long story short, it is a GNU Bash vulnerability in the code which

      handles environment variables.<br>

      <br>

      It also seems that under the "right conditions", any version of an

      OpenSIPS server can be vulnerable to this exploit.<br>

      <br>

      The following are the "right conditions":<br>

      &nbsp;&nbsp;&nbsp; * your /bin/sh is vulnerable to Shellshock. You can test this

      with the following command:<br>

      &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; env x='() { :;}; echo vulnerable' bash -c 'echo this is a

      test'<br>

      &nbsp;&nbsp;&nbsp; * your OpenSIPS uses the "exec" module<br>

      &nbsp;&nbsp;&nbsp; * you have not disabled the "setvars" modparam of exec [3]<br>

      <br>

      If <b>all</b> of the above conditions are true, then you are

      vulnerable to some cleverly crafted INVITE requests. An attacker<br>

      could remotely execute code with the privileges of your OpenSIPS

      daemon user!<br>

      <br>

      Ways to fix the issue (<b>any</b> of them is enough):<br>

      &nbsp;&nbsp;&nbsp; * upgrade your bash shell to a non-vulnerable version<br>

      &nbsp;&nbsp;&nbsp; * if you are not using the environment variables in your exec

      scripts, then skip them:<br>

      &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; modparam("exec", "setvars", 0)<br>

      <br>

      Note on broken backwards-compatibility:<br>

      &nbsp;&nbsp;&nbsp; We have disabled the "setvars" parameter by default in all

      supported OpenSIPS versions. If you were using the<br>

      environment variables in your exec scripts, make sure you update

      your OpenSIPS script and bash shell after<br>

      performing an upgrade to the daily OpenSIPS builds.<br>

      <br>

      [1]: <a class="moz-txt-link-freetext" href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271</a><br>

      [2]: <a class="moz-txt-link-freetext" href="http://en.wikipedia.org/wiki/Shellshock_(software_bug)">http://en.wikipedia.org/wiki/Shellshock_(software_bug)</a><br>

      [3]:

      <a class="moz-txt-link-freetext" href="http://www.opensips.org/html/docs/modules/1.12.x/exec.html#id248413">http://www.opensips.org/html/docs/modules/1.12.x/exec.html#id248413</a><br>

      <br>

      Best regards,<br>

    </tt>

    <pre class="moz-signature" cols="72">-- 

Liviu Chircu

OpenSIPS Developer

<a class="moz-txt-link-freetext" href="http://www.opensips-solutions.com">http://www.opensips-solutions.com</a></pre>

  </body>

</html>