Unix & Linux shellshock

5

Co oznacza env x = '() {:;}; polecenie 'bash zrobić i dlaczego jest niepewny?

Podobno w bash istnieje luka (CVE-2014-6271): Bash, specjalnie spreparowany kod iniekcji kodu zmiennych środowiskowych Próbuję dowiedzieć się, co się dzieje, ale nie jestem do końca pewien, czy to rozumiem. Jak można echowykonać w postaci pojedynczych cudzysłowów? $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" …

237 bash shellshock vulnerability

2

Kiedy wprowadzono błąd shellshock (CVE-2014-6271 / 7169) i jaka łatka go w pełni naprawia?

Trochę kontekstu na temat błędu: CVE-2014-6271 Bash obsługuje eksportowanie nie tylko zmiennych powłoki, ale także funkcji powłoki do innych instancji bash, poprzez środowisko procesowe do (pośrednich) procesów potomnych. Obecne wersje bash używają zmiennej środowiskowej nazwanej nazwą funkcji i definicji funkcji rozpoczynającej się od „() {” w wartości zmiennej do propagowania …

122 bash security shellshock

3

Jak można wykorzystać Shellshock w SSH?

Wydaje się, że exploit Cash-2014-6271 w shellshock Bash może być wykorzystywany przez sieć za pośrednictwem SSH. Mogę sobie wyobrazić, jak exploit działałby za pośrednictwem Apache / CGI, ale nie wyobrażam sobie, jak działałoby to w przypadku SSH? Czy ktoś może podać przykład wykorzystania SSH i jaką szkodę może wyrządzić system? …

68 bash ssh shellshock

1

Jak została odkryta podatność Shellshock Bash?

Ponieważ ten błąd dotyczy tak wielu platform, możemy dowiedzieć się czegoś z procesu, w którym wykryto tę lukę: czy był to moment εὕρηκα (eureka) czy wynik kontroli bezpieczeństwa? Ponieważ wiemy, że Stéphane znalazł błąd Shellshock, a inni mogą również znać ten proces, bylibyśmy zainteresowani historią, w jaki sposób znalazł błąd.

19 bash shellshock bugs vulnerability

4

Starsze wersje Debiana i Bash Shellshock

Prowadzimy Debian Etch, Lenny i Squeeze, ponieważ w tym sklepie nigdy nie przeprowadzono aktualizacji; mamy ponad 150 systemów z różnymi wersjami Debiana. W świetle „szoku powłoki” w tym tygodniu zakładam, że muszę zaktualizować bash. Nie znam Debiana, więc się martwię. Czy mogę po prostu wykonać apt-get install bashna wszystkich moich …

11 bash debian shellshock

1

Dlaczego bash nawet parsuje / uruchamia rzeczy w zmiennej środowiskowej?

Shellshock błąd w bash działa na zasadzie zmiennych środowiskowych. Szczerze mówiąc, byłem zaskoczony faktem, że istnieje taka funkcja, jak: „przekazywanie definicji funkcji przez zmienne env” Dlatego pytanie, choć może nie do końca sformułowane, ma na celu podanie przykładu lub przypadku, w którym konieczne byłoby posiadanie tej funkcji? Premia. Czy inne …

9 bash environment-variables function shellshock

2

Dlaczego sama zdolność definiowania funkcji w zmiennej środowiskowej nie stanowi zagrożenia bezpieczeństwa?

Jak rozumiem, ogólnie uważa się za bezpieczne, aby każdy mógł dostarczyć informacje, które będą przechowywane w zmiennej środowiskowej. Luka w shellshock jest tutaj problemem, ponieważ oznacza, że kod na końcu definicji funkcji w zmiennej środowiskowej zostanie wykonany, gdy uruchomi się nowa instancja bash, i oczywiście nie chcesz, aby ktokolwiek uruchamiał …

9 bash security environment-variables shellshock

Pytania otagowane jako shellshock