Вопросы с тегом «shellshock»

Похоже, в bash существует уязвимость (CVE-2014-6271): атака с помощью внедрения кода специально созданных переменных среды Bash Я пытаюсь понять, что происходит, но я не совсем уверен, что понимаю это. Как echoвыполнить в одинарных кавычках? $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this …

237 bash  shellshock  vulnerability 

Некоторый контекст об ошибке: CVE-2014-6271 Bash поддерживает экспорт не только переменных оболочки, но и функций оболочки в другие экземпляры bash через среду процессов для (косвенных) дочерних процессов. Текущие версии bash используют переменную среды, названную именем функции, и определение функции, начинающееся с «() {» в значении переменной, для распространения определений функций …

122 bash  security  shellshock 

По-видимому, эксплойт Bash Shellhock Bash CVE-2014-6271 можно использовать по сети через SSH. Я могу представить, как эксплойт будет работать через Apache / CGI, но я не могу представить, как это будет работать через SSH? Может кто-нибудь привести пример использования SSH и какой вред может быть нанесен системе? ПОЯСНЕНИЯ AFAIU, только …

68 bash  ssh  shellshock 

Поскольку эта ошибка затрагивает очень много платформ, мы могли бы кое-что узнать из процесса, с помощью которого была обнаружена эта уязвимость: это был момент εὕρηκα (eureka) или результат проверки безопасности? Поскольку мы знаем, что Стефан обнаружил ошибку Shellshock, и другие могут знать об этом процессе, нам будет интересна история о …

19 bash  shellshock  bugs  vulnerability 

Мы используем Debian Etch, Lenny и Squeeze, потому что в этом магазине никогда не производились обновления; у нас более 150 систем с различными версиями Debian. В свете «шокового удара» на этой неделе, я предполагаю, что мне нужно обновить bash. Я не знаю Debian, поэтому я обеспокоен. Могу ли я просто …

11 bash  debian  shellshock 

Shellshock ошибка в Баш работает путем переменных окружения. Честно говоря, я был удивлен тем, что есть такая особенность, как: "передача определений функций через env vars" Поэтому этот вопрос, хотя, может быть, и не совсем сформулированный, состоит в том, чтобы задать пример или случай, в котором было бы необходимо иметь эту …

9 bash  environment-variables  function  shellshock 

Насколько я понимаю, в целом считается безопасным позволять кому-либо предоставлять информацию, которая будет храниться в переменной среды. Проблема заключается в том, что в конце определения функции внутри переменной среды будет выполняться код, когда запускается новый экземпляр bash, и вы, очевидно, не хотите, чтобы кто-либо выполнял какой-либо код на вашем сервере. …

9 bash  security  environment-variables  shellshock 

Я хотел бы узнать, как применить исправление для этой уязвимости в Cygwin. Я использую CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 CygwinCygwin на Windows 7. #bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> $ env x='() …

8 bash  security  cygwin  shellshock