Tampaknya ada kerentanan (CVE-2014-6271) di bash: Bash dibuat khusus untuk serangan kode variabel lingkungan injeksi Saya mencoba mencari tahu apa yang terjadi, tetapi saya tidak sepenuhnya yakin saya memahaminya. Bagaimana bisa echodieksekusi seperti dalam tanda kutip tunggal? $ env x='() { :;};...
Beberapa konteks tentang bug: CVE-2014-6271 Bash mendukung ekspor tidak hanya variabel shell, tetapi juga fungsi shell ke instance bash lainnya, melalui lingkungan proses untuk proses anak (tidak langsung). Versi bash saat ini menggunakan variabel lingkungan yang dinamai dengan nama fungsi, dan...
Rupanya, shellshock Bash mengeksploitasi CVE-2014-6271 dapat dieksploitasi melalui jaringan melalui SSH. Saya bisa membayangkan bagaimana eksploitasi akan bekerja melalui Apache / CGI, tetapi saya tidak bisa membayangkan bagaimana itu akan berhasil di SSH? Bisakah seseorang memberikan contoh...
Karena bug ini memengaruhi begitu banyak platform, kita mungkin belajar sesuatu dari proses yang dengannya kerentanan ini ditemukan: apakah itu momen εὕρηκα (eureka) atau hasil pemeriksaan keamanan? Karena kita tahu Stéphane menemukan bug Shellshock, dan yang lain mungkin tahu prosesnya juga, kita...
Kami menjalankan Debian Etch, Lenny, dan Squeeze karena upgrade belum pernah dilakukan di toko ini; kami memiliki lebih dari 150 sistem yang menjalankan berbagai versi Debian. Mengingat "kejutan shell" minggu ini, saya menganggap saya perlu memperbarui bash. Saya tidak kenal Debian jadi saya...
Seperti yang saya pahami, umumnya dianggap aman untuk membiarkan siapa pun memberikan informasi yang akan disimpan dalam variabel lingkungan. Kerentanan shellshock adalah masalah di sini karena itu berarti kode pada akhir definisi fungsi di dalam variabel lingkungan akan dieksekusi ketika instance...
The SHELLSHOCK bug di bash bekerja dengan cara variabel lingkungan. Jujur saya terkejut oleh fakta bahwa ada fitur seperti: "meneruskan definisi fungsi melalui env vars" Oleh karena itu pertanyaan ini sementara mungkin tidak diformulasikan dengan sempurna adalah untuk meminta contoh atau kasus di...
Saya ingin mengetahui bagaimana cara menerapkan perbaikan untuk kerentanan ini pada cygwin. Saya menjalankan CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwincygwin di Windows 7. #bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C)...