«shellshock» etiketlenmiş sorular

5
Env x = '() {:;}; komut 'bash yapmak ve neden güvensiz?
Görünüşe göre bash'da bir güvenlik açığı (CVE-2014-6271) var: Bash özel hazırlanmış çevre değişkenleri kod ekleme saldırısı Ne olduğunu anlamaya çalışıyorum, ama anladığımdan tam olarak emin değilim. echoTekil alıntılarda olduğu gibi nasıl yürütülür? $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a …

2
Vücudunda (CVE-2014-6271 / 7169) böcek ne zaman ortaya çıktı ve onu tamamen düzelten yama nedir?
Hata ile ilgili bazı bağlamlar: CVE-2014-6271 Bash, yalnızca kabuk değişkenlerini değil, aynı zamanda kabuk işlevlerini işlem ortamından (dolaylı) alt işlemlere kadar diğer bash örneklerine de göndermeyi destekler. Geçerli bash sürümleri, işlev tanımlarını çevrede yaymak için değişken adında “() {” ile başlayan işlev tanımını ve işlev adıyla adlandırılan bir işlev değişkenini …

3
SSH üzerinde mermi vuruşu nasıl kullanılabilir?
Görünüşe göre, Cells-2014-6271'deki istismar Bash'in sömürdüğü şebeke üzerinden SSH ile yararlanılabilir. Açıklamanın Apache / CGI üzerinden nasıl çalışacağını hayal edebiliyorum, ancak bunun SSH üzerinde nasıl çalışacağını hayal edemiyorum. Birisi lütfen SSH'nin nasıl kullanılacağına ve sisteme ne zarar verebileceğine dair bir örnek verebilir mi? AÇIKLAMA AFAIU, yalnızca kimliği doğrulanmış bir kullanıcı, …
68 bash  ssh  shellshock 

1
Shellshock Bash güvenlik açığı nasıl bulundu?
Bu hata çok sayıda platformu etkilediğinden, bu güvenlik açığının bulunduğu süreçten bir şeyler öğrenebiliriz: εὕρηκα (eureka) anı mı yoksa bir güvenlik kontrolünün sonucu mu? Stéphane'nin Shellshock hatasını bulduğunu bildiğimizden ve diğerleri de süreci bildiğinden, hatayı nasıl bulduğu hikayesiyle ilgileneceğiz.

4
Eski Debian sürümleri ve Bash Shellshock
Debian Etch, Lenny ve Squeeze kullanıyoruz, çünkü bu dükkanda yükseltmeler hiç yapılmadı; çeşitli Debian versiyonlarını çalıştıran 150'den fazla sistemimiz var. Bu haftanın "kabuk şoku" ışığında, bash yükseltmem gerektiğini varsayıyorum. Debian'ı tanımıyorum, bu yüzden endişeliyim. apt-get install bashDepom bir Squeeze girişine işaret ederken yalnızca tüm Debian sistemlerim üzerinde çalışabilir ve doğru …

1
Neden ortam değişkenine bash bile ayrıştırır / çalıştırır?
Shellshock bash hata ortam değişkenleri yoluyla çalışır. Dürüst olmak gerekirse böyle bir özellik olduğu gerçeği ile şaşırdım: "fonksiyon tanımlarının env vars üzerinden aktarılması" Bu nedenle, mükemmel bir şekilde formüle edilmemiş olsa da bu soru, bu özelliğe sahip olmanın gerekli olacağı bir örnek veya vaka istemektir. Bonus. Diğer kabuklar zsh, dash …

2
Neden bir çevresel değişken içindeki işlevleri tanımlama yeteneği kendi başına bir güvenlik riski oluşturmaz?
Anladığım kadarıyla, genel olarak herhangi birinin çevresel bir değişkende saklanacak bilgileri sağlamasına izin verilmesi güvenli kabul edilir. Kabuk şoku güvenlik açığı burada bir sorundur, çünkü yeni bir bash örneği başlatıldığında ve açıkça kimsenin sunucunuzda istedikleri herhangi bir kodu çalıştırmasını istemediğinizde, çevresel değişken içindeki bir işlev tanımının sonundaki kodun yürütüleceği anlamına …
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.