Что именно является уязвимостью "Shellshock"?

461
FLGMwt

Что касается ошибки Shellshock (также известной как «ошибка bash», CVE-2014-6271), может кто-нибудь объяснить, как работает эта уязвимость? Основываясь на тесте, приведенном в некоторых постах (ниже), это выглядит как инъекция некоторого типа с использованием переменных среды, но что именно происходит / не происходит, чтобы не допустить этого?

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
0
Помогают ли какие-либо из [этих] (http://security.stackexchange.com/search?q=Shellshock) ответы на вопросы? Ramhound 10 лет назад 0
+1000 награжденных стеками очков стыда. Мне было интересно, почему SuperUser и ServerFault немного освещают эту тему. Должен ли я сохранить вопрос или удалить его? Sec это хорошо освещает, но у разных сайтов разные ответы на вопросы? FLGMwt 10 лет назад 1
Вы хотите честный ответ? Если вы уже нашли свой ответ, проголосуйте за этот вопрос, ответьте на него и удалите этот вопрос. Ramhound 10 лет назад 1
@Ramhound Я согласен, но, возможно, сохранение этого позволит нам закрыть неизбежный поток других, которые будут дублировать нас. Raystafarian 10 лет назад 0
@Raystafarian - Если не стоит переходить на Security.SE, зачем нам его хранить, и я не верю, что это так. Ramhound 10 лет назад 0
@Ramhound просто помнит инцидент http://superuser.com/questions/tagged/heartbleed. Я не думаю, что это также принадлежит здесь, но это может быть изменено, чтобы быть по теме. Конечно, это не мой звонок, просто выбрасывать опцию. Raystafarian 10 лет назад 0
@Raystafarian: Я не вижу причин, чтобы это было не по теме здесь. Несмотря на то, что он ориентирован на безопасность, он специфичен для конкретного приложения (в данном случае Bash), а программное обеспечение явно предназначено для суперпользователя. Фактически, мы могли бы действительно использовать канонический вопрос и ответ, описывающий Shellshock, поэтому я отметил его [community-faq-предложил]. bwDraco 10 лет назад 1

0 ответов на вопрос

Похожие вопросы