Czym dokładnie jest luka „Shellshock”?


0

Jeśli chodzi o błąd Shellshock (znany również jako „bash bug”, CVE-2014-6271), czy ktoś może wyjaśnić, jak działa ta luka? Opierając się na teście podanym w niektórych postach (poniżej), wygląda to na jakiś rodzaj wtrysku przy użyciu zmiennych środowiskowych, ale co dokładnie się dzieje / nie występuje, aby temu zapobiec?

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Zrób coś z te odpowiedzi na pytania pomagają?
Ramhound

1
+1000 samozwańczych punktów wstrząsów stackexhange. Zastanawiałem się, dlaczego SuperUser i ServerFault były nieco lekkie na ten temat. Czy powinienem zatrzymać pytanie lub je usunąć? Sec dobrze to ujmuje, ale różne strony mają różne perspektywy na udzielanie odpowiedzi?
FLGMwt

1
Chcesz uczciwej odpowiedzi? Jeśli już znalazłeś odpowiedź, zagłosuj na to pytanie i odpowiedz i usuń to pytanie.
Ramhound

@Rhound Zgadzam się, ale może utrzymanie tego pozwoli nam zamknąć nieuchronną powódź innych kierowanych jako duplikaty.
Raystafarian

1
@Raystafarian: Nie widzę powodu, żeby to było poza tematem. Chociaż zorientowany na bezpieczeństwo, jest specyficzny dla konkretnej aplikacji (w tym przypadku Bash), a oprogramowanie komputerowe jest wyraźnie na temat dla superużytkownika. W rzeczywistości moglibyśmy naprawdę użyć kanonicznego pytania i odpowiedzi opisującej Shellshock, więc oznaczyłem go tagiem [community-faq-proponuje].
bwDraco
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.