Pytania otagowane jako shellshock


2
Kiedy wprowadzono błąd shellshock (CVE-2014-6271 / 7169) i jaka łatka go w pełni naprawia?
Trochę kontekstu na temat błędu: CVE-2014-6271 Bash obsługuje eksportowanie nie tylko zmiennych powłoki, ale także funkcji powłoki do innych instancji bash, poprzez środowisko procesowe do (pośrednich) procesów potomnych. Obecne wersje bash używają zmiennej środowiskowej nazwanej nazwą funkcji i definicji funkcji rozpoczynającej się od „() {” w wartości zmiennej do propagowania …

3
Jak można wykorzystać Shellshock w SSH?
Wydaje się, że exploit Cash-2014-6271 w shellshock Bash może być wykorzystywany przez sieć za pośrednictwem SSH. Mogę sobie wyobrazić, jak exploit działałby za pośrednictwem Apache / CGI, ale nie wyobrażam sobie, jak działałoby to w przypadku SSH? Czy ktoś może podać przykład wykorzystania SSH i jaką szkodę może wyrządzić system? …
68 bash  ssh  shellshock 

1
Jak została odkryta podatność Shellshock Bash?
Ponieważ ten błąd dotyczy tak wielu platform, możemy dowiedzieć się czegoś z procesu, w którym wykryto tę lukę: czy był to moment εὕρηκα (eureka) czy wynik kontroli bezpieczeństwa? Ponieważ wiemy, że Stéphane znalazł błąd Shellshock, a inni mogą również znać ten proces, bylibyśmy zainteresowani historią, w jaki sposób znalazł błąd.

4
Starsze wersje Debiana i Bash Shellshock
Prowadzimy Debian Etch, Lenny i Squeeze, ponieważ w tym sklepie nigdy nie przeprowadzono aktualizacji; mamy ponad 150 systemów z różnymi wersjami Debiana. W świetle „szoku powłoki” w tym tygodniu zakładam, że muszę zaktualizować bash. Nie znam Debiana, więc się martwię. Czy mogę po prostu wykonać apt-get install bashna wszystkich moich …

1
Dlaczego bash nawet parsuje / uruchamia rzeczy w zmiennej środowiskowej?
Shellshock błąd w bash działa na zasadzie zmiennych środowiskowych. Szczerze mówiąc, byłem zaskoczony faktem, że istnieje taka funkcja, jak: „przekazywanie definicji funkcji przez zmienne env” Dlatego pytanie, choć może nie do końca sformułowane, ma na celu podanie przykładu lub przypadku, w którym konieczne byłoby posiadanie tej funkcji? Premia. Czy inne …

2
Dlaczego sama zdolność definiowania funkcji w zmiennej środowiskowej nie stanowi zagrożenia bezpieczeństwa?
Jak rozumiem, ogólnie uważa się za bezpieczne, aby każdy mógł dostarczyć informacje, które będą przechowywane w zmiennej środowiskowej. Luka w shellshock jest tutaj problemem, ponieważ oznacza, że ​​kod na końcu definicji funkcji w zmiennej środowiskowej zostanie wykonany, gdy uruchomi się nowa instancja bash, i oczywiście nie chcesz, aby ktokolwiek uruchamiał …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.