Похоже, в bash существует уязвимость (CVE-2014-6271): атака с помощью внедрения кода специально созданных переменных среды Bash Я пытаюсь понять, что происходит, но я не совсем уверен, что понимаю это. Как echoвыполнить в одинарных кавычках? $ env x='() { :;}; echo vulnerable' bash -c "echo this is...
Некоторый контекст об ошибке: CVE-2014-6271 Bash поддерживает экспорт не только переменных оболочки, но и функций оболочки в другие экземпляры bash через среду процессов для (косвенных) дочерних процессов. Текущие версии bash используют переменную среды, названную именем функции, и определение...
По-видимому, эксплойт Bash Shellhock Bash CVE-2014-6271 можно использовать по сети через SSH. Я могу представить, как эксплойт будет работать через Apache / CGI, но я не могу представить, как это будет работать через SSH? Может кто-нибудь привести пример использования SSH и какой вред может быть...
Поскольку эта ошибка затрагивает очень много платформ, мы могли бы кое-что узнать из процесса, с помощью которого была обнаружена эта уязвимость: это был момент εὕρηκα (eureka) или результат проверки безопасности? Поскольку мы знаем, что Стефан обнаружил ошибку Shellshock, и другие могут знать об...
Мы используем Debian Etch, Lenny и Squeeze, потому что в этом магазине никогда не производились обновления; у нас более 150 систем с различными версиями Debian. В свете «шокового удара» на этой неделе, я предполагаю, что мне нужно обновить bash. Я не знаю Debian, поэтому я обеспокоен. Могу ли я...
Насколько я понимаю, в целом считается безопасным позволять кому-либо предоставлять информацию, которая будет храниться в переменной среды. Проблема заключается в том, что в конце определения функции внутри переменной среды будет выполняться код, когда запускается новый экземпляр bash, и вы,...
Shellshock ошибка в Баш работает путем переменных окружения. Честно говоря, я был удивлен тем, что есть такая особенность, как: "передача определений функций через env vars" Поэтому этот вопрос, хотя, может быть, и не совсем сформулированный, состоит в том, чтобы задать пример или случай, в котором...
Я хотел бы узнать, как применить исправление для этой уязвимости в Cygwin. Я использую CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 CygwinCygwin на Windows 7. #bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C) 2009 Free Software...