«shellshock» etiketlenmiş sorular

Görünüşe göre bash'da bir güvenlik açığı (CVE-2014-6271) var: Bash özel hazırlanmış çevre değişkenleri kod ekleme saldırısı Ne olduğunu anlamaya çalışıyorum, ama anladığımdan tam olarak emin değilim. echoTekil alıntılarda olduğu gibi nasıl yürütülür? $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a …

237 bash  shellshock  vulnerability 

Hata ile ilgili bazı bağlamlar: CVE-2014-6271 Bash, yalnızca kabuk değişkenlerini değil, aynı zamanda kabuk işlevlerini işlem ortamından (dolaylı) alt işlemlere kadar diğer bash örneklerine de göndermeyi destekler. Geçerli bash sürümleri, işlev tanımlarını çevrede yaymak için değişken adında “() {” ile başlayan işlev tanımını ve işlev adıyla adlandırılan bir işlev değişkenini …

122 bash  security  shellshock 

Görünüşe göre, Cells-2014-6271'deki istismar Bash'in sömürdüğü şebeke üzerinden SSH ile yararlanılabilir. Açıklamanın Apache / CGI üzerinden nasıl çalışacağını hayal edebiliyorum, ancak bunun SSH üzerinde nasıl çalışacağını hayal edemiyorum. Birisi lütfen SSH'nin nasıl kullanılacağına ve sisteme ne zarar verebileceğine dair bir örnek verebilir mi? AÇIKLAMA AFAIU, yalnızca kimliği doğrulanmış bir kullanıcı, …

68 bash  ssh  shellshock 

Bu hata çok sayıda platformu etkilediğinden, bu güvenlik açığının bulunduğu süreçten bir şeyler öğrenebiliriz: εὕρηκα (eureka) anı mı yoksa bir güvenlik kontrolünün sonucu mu? Stéphane'nin Shellshock hatasını bulduğunu bildiğimizden ve diğerleri de süreci bildiğinden, hatayı nasıl bulduğu hikayesiyle ilgileneceğiz.

19 bash  shellshock  bugs  vulnerability 

Debian Etch, Lenny ve Squeeze kullanıyoruz, çünkü bu dükkanda yükseltmeler hiç yapılmadı; çeşitli Debian versiyonlarını çalıştıran 150'den fazla sistemimiz var. Bu haftanın "kabuk şoku" ışığında, bash yükseltmem gerektiğini varsayıyorum. Debian'ı tanımıyorum, bu yüzden endişeliyim. apt-get install bashDepom bir Squeeze girişine işaret ederken yalnızca tüm Debian sistemlerim üzerinde çalışabilir ve doğru …

11 bash  debian  shellshock 

Shellshock bash hata ortam değişkenleri yoluyla çalışır. Dürüst olmak gerekirse böyle bir özellik olduğu gerçeği ile şaşırdım: "fonksiyon tanımlarının env vars üzerinden aktarılması" Bu nedenle, mükemmel bir şekilde formüle edilmemiş olsa da bu soru, bu özelliğe sahip olmanın gerekli olacağı bir örnek veya vaka istemektir. Bonus. Diğer kabuklar zsh, dash …

9 bash  environment-variables  function  shellshock 

Anladığım kadarıyla, genel olarak herhangi birinin çevresel bir değişkende saklanacak bilgileri sağlamasına izin verilmesi güvenli kabul edilir. Kabuk şoku güvenlik açığı burada bir sorundur, çünkü yeni bir bash örneği başlatıldığında ve açıkça kimsenin sunucunuzda istedikleri herhangi bir kodu çalıştırmasını istemediğinizde, çevresel değişken içindeki bir işlev tanımının sonundaki kodun yürütüleceği anlamına …

9 bash  security  environment-variables  shellshock