Podobno w bash istnieje luka (CVE-2014-6271): Bash, specjalnie spreparowany kod iniekcji kodu zmiennych środowiskowych Próbuję dowiedzieć się, co się dzieje, ale nie jestem do końca pewien, czy to rozumiem. Jak można echowykonać w postaci pojedynczych cudzysłowów? $ env x='() { :;}; echo...
Trochę kontekstu na temat błędu: CVE-2014-6271 Bash obsługuje eksportowanie nie tylko zmiennych powłoki, ale także funkcji powłoki do innych instancji bash, poprzez środowisko procesowe do (pośrednich) procesów potomnych. Obecne wersje bash używają zmiennej środowiskowej nazwanej nazwą funkcji i...
Wydaje się, że exploit Cash-2014-6271 w shellshock Bash może być wykorzystywany przez sieć za pośrednictwem SSH. Mogę sobie wyobrazić, jak exploit działałby za pośrednictwem Apache / CGI, ale nie wyobrażam sobie, jak działałoby to w przypadku SSH? Czy ktoś może podać przykład wykorzystania SSH i...
Ponieważ ten błąd dotyczy tak wielu platform, możemy dowiedzieć się czegoś z procesu, w którym wykryto tę lukę: czy był to moment εὕρηκα (eureka) czy wynik kontroli bezpieczeństwa? Ponieważ wiemy, że Stéphane znalazł błąd Shellshock, a inni mogą również znać ten proces, bylibyśmy zainteresowani...
Prowadzimy Debian Etch, Lenny i Squeeze, ponieważ w tym sklepie nigdy nie przeprowadzono aktualizacji; mamy ponad 150 systemów z różnymi wersjami Debiana. W świetle „szoku powłoki” w tym tygodniu zakładam, że muszę zaktualizować bash. Nie znam Debiana, więc się martwię. Czy mogę po prostu wykonać...
Jak rozumiem, ogólnie uważa się za bezpieczne, aby każdy mógł dostarczyć informacje, które będą przechowywane w zmiennej środowiskowej. Luka w shellshock jest tutaj problemem, ponieważ oznacza, że kod na końcu definicji funkcji w zmiennej środowiskowej zostanie wykonany, gdy uruchomi się nowa...
Shellshock błąd w bash działa na zasadzie zmiennych środowiskowych. Szczerze mówiąc, byłem zaskoczony faktem, że istnieje taka funkcja, jak: „przekazywanie definicji funkcji przez zmienne env” Dlatego pytanie, choć może nie do końca sformułowane, ma na celu podanie przykładu lub przypadku, w...