Pertanyaan yang diberi tag «shellshock»


2
Kapan bug shellshock (CVE-2014-6271 / 7169) diperkenalkan, dan apa patch yang sepenuhnya memperbaikinya?
Beberapa konteks tentang bug: CVE-2014-6271 Bash mendukung ekspor tidak hanya variabel shell, tetapi juga fungsi shell ke instance bash lainnya, melalui lingkungan proses untuk proses anak (tidak langsung). Versi bash saat ini menggunakan variabel lingkungan yang dinamai dengan nama fungsi, dan definisi fungsi dimulai dengan "() {" dalam nilai variabel …

3
bagaimana shellshock dapat dieksploitasi melalui SSH?
Rupanya, shellshock Bash mengeksploitasi CVE-2014-6271 dapat dieksploitasi melalui jaringan melalui SSH. Saya bisa membayangkan bagaimana eksploitasi akan bekerja melalui Apache / CGI, tetapi saya tidak bisa membayangkan bagaimana itu akan berhasil di SSH? Bisakah seseorang memberikan contoh bagaimana SSH akan dieksploitasi, dan kerusakan apa yang dapat terjadi pada sistem? KLARIFIKASI …
68 bash  ssh  shellshock 

1
Bagaimana kerentanan Shellshock Bash ditemukan?
Karena bug ini memengaruhi begitu banyak platform, kita mungkin belajar sesuatu dari proses yang dengannya kerentanan ini ditemukan: apakah itu momen εὕρηκα (eureka) atau hasil pemeriksaan keamanan? Karena kita tahu Stéphane menemukan bug Shellshock, dan yang lain mungkin tahu prosesnya juga, kita akan tertarik pada kisah bagaimana dia datang untuk …

4
Versi Debian lawas dan Bash Shellshock
Kami menjalankan Debian Etch, Lenny, dan Squeeze karena upgrade belum pernah dilakukan di toko ini; kami memiliki lebih dari 150 sistem yang menjalankan berbagai versi Debian. Mengingat "kejutan shell" minggu ini, saya menganggap saya perlu memperbarui bash. Saya tidak kenal Debian jadi saya khawatir. Dapatkah saya hanya menjalankan apt-get install …

1
Mengapa bash bahkan menguraikan / menjalankan hal-hal yang dimasukkan ke dalam variabel lingkungan?
The SHELLSHOCK bug di bash bekerja dengan cara variabel lingkungan. Jujur saya terkejut oleh fakta bahwa ada fitur seperti: "meneruskan definisi fungsi melalui env vars" Oleh karena itu pertanyaan ini sementara mungkin tidak diformulasikan dengan sempurna adalah untuk meminta contoh atau kasus di mana akan diperlukan untuk memiliki fitur ini? …

2
Mengapa kemampuan untuk mendefinisikan fungsi dalam variabel lingkungan itu sendiri bukan risiko keamanan?
Seperti yang saya pahami, umumnya dianggap aman untuk membiarkan siapa pun memberikan informasi yang akan disimpan dalam variabel lingkungan. Kerentanan shellshock adalah masalah di sini karena itu berarti kode pada akhir definisi fungsi di dalam variabel lingkungan akan dieksekusi ketika instance baru dari bash diluncurkan dan Anda jelas tidak ingin …

2
Bagaimana cara menerapkan perbaikan untuk kerentanan bash CVE-2014-6271 di cygwin?
Saya ingin mengetahui bagaimana cara menerapkan perbaikan untuk kerentanan ini pada cygwin. Saya menjalankan CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwincygwin di Windows 7. #bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> $ env x='() …
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.