<html><body><div style="color:#000; background-color:#fff; font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:16px"><div id="yui_3_16_0_1_1413039213898_4432" dir="ltr">I am testing the Bash vulnerability with DHCP to a Linux machine. Using dnsmasq, I am setting option 114 in the DHCP response.  The dhcp client gets the address ok.  My environment is a vuln Linux host > Cisco router (providing DHCP forwarding) > Sensor >  DHCP Server.</div><div id="yui_3_16_0_1_1413039213898_4431" dir="ltr"><br></div><div id="yui_3_16_0_1_1413039213898_4430" dir="ltr"> I see sig 31985 looks for UDP ports bootpc and bootps, pattern match () { and pattern match 02 01 06 00.   I was not able to get this to fire.</div><div id="yui_3_16_0_1_1413039213898_4469" dir="ltr"><br></div><div id="yui_3_16_0_1_1413039213898_4463" dir="ltr">My observations:  The DCHP packets between the forwarding router and DHCP server are exchanged on only the BOOTPS port (67).  I don't see the client port (68) on any of the connection events. Also, I'm not sure what  02 01 06 00 is for.  </div><div id="yui_3_16_0_1_1413039213898_4466" dir="ltr"><br></div><div id="yui_3_16_0_1_1413039213898_4467" dir="ltr">When I create my own signature with both ports set to bootps and remove the 02 01 06 00 pattern, the signature fires.</div><div id="yui_3_16_0_1_1413039213898_4470" dir="ltr"><br></div><div id="yui_3_16_0_1_1413039213898_4468" dir="ltr">I may not have my exploit set up correctly.  I am using the option 114 string found on several web sites.</div><div id="yui_3_16_0_1_1413039213898_4471" dir="ltr"><br></div><div id="yui_3_16_0_1_1413039213898_4472" dir="ltr">Clarification/help is appreciated.</div><div id="yui_3_16_0_1_1413039213898_4473" dir="ltr"><br></div><div id="yui_3_16_0_1_1413039213898_4474" dir="ltr">Thanks.  Sam<br></div><div></div></div></body></html>