Pertanyaan yang diberi tag «shellshock»

Tampaknya ada kerentanan (CVE-2014-6271) di bash: Bash dibuat khusus untuk serangan kode variabel lingkungan injeksi Saya mencoba mencari tahu apa yang terjadi, tetapi saya tidak sepenuhnya yakin saya memahaminya. Bagaimana bisa echodieksekusi seperti dalam tanda kutip tunggal? $ env x='() { :;}; echo vulnerable' bash -c "echo this is a …

237 bash  shellshock  vulnerability 

Beberapa konteks tentang bug: CVE-2014-6271 Bash mendukung ekspor tidak hanya variabel shell, tetapi juga fungsi shell ke instance bash lainnya, melalui lingkungan proses untuk proses anak (tidak langsung). Versi bash saat ini menggunakan variabel lingkungan yang dinamai dengan nama fungsi, dan definisi fungsi dimulai dengan "() {" dalam nilai variabel …

122 bash  security  shellshock 

Rupanya, shellshock Bash mengeksploitasi CVE-2014-6271 dapat dieksploitasi melalui jaringan melalui SSH. Saya bisa membayangkan bagaimana eksploitasi akan bekerja melalui Apache / CGI, tetapi saya tidak bisa membayangkan bagaimana itu akan berhasil di SSH? Bisakah seseorang memberikan contoh bagaimana SSH akan dieksploitasi, dan kerusakan apa yang dapat terjadi pada sistem? KLARIFIKASI …

68 bash  ssh  shellshock 

Karena bug ini memengaruhi begitu banyak platform, kita mungkin belajar sesuatu dari proses yang dengannya kerentanan ini ditemukan: apakah itu momen εὕρηκα (eureka) atau hasil pemeriksaan keamanan? Karena kita tahu Stéphane menemukan bug Shellshock, dan yang lain mungkin tahu prosesnya juga, kita akan tertarik pada kisah bagaimana dia datang untuk …

19 bash  shellshock  bugs  vulnerability 

Kami menjalankan Debian Etch, Lenny, dan Squeeze karena upgrade belum pernah dilakukan di toko ini; kami memiliki lebih dari 150 sistem yang menjalankan berbagai versi Debian. Mengingat "kejutan shell" minggu ini, saya menganggap saya perlu memperbarui bash. Saya tidak kenal Debian jadi saya khawatir. Dapatkah saya hanya menjalankan apt-get install …

11 bash  debian  shellshock 

The SHELLSHOCK bug di bash bekerja dengan cara variabel lingkungan. Jujur saya terkejut oleh fakta bahwa ada fitur seperti: "meneruskan definisi fungsi melalui env vars" Oleh karena itu pertanyaan ini sementara mungkin tidak diformulasikan dengan sempurna adalah untuk meminta contoh atau kasus di mana akan diperlukan untuk memiliki fitur ini? …

9 bash  environment-variables  function  shellshock 

Seperti yang saya pahami, umumnya dianggap aman untuk membiarkan siapa pun memberikan informasi yang akan disimpan dalam variabel lingkungan. Kerentanan shellshock adalah masalah di sini karena itu berarti kode pada akhir definisi fungsi di dalam variabel lingkungan akan dieksekusi ketika instance baru dari bash diluncurkan dan Anda jelas tidak ingin …

9 bash  security  environment-variables  shellshock 

Saya ingin mengetahui bagaimana cara menerapkan perbaikan untuk kerentanan ini pada cygwin. Saya menjalankan CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwincygwin di Windows 7. #bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> $ env x='() …

8 bash  security  cygwin  shellshock