Влияет ли ошибка Shellshock на ZSH?

No, it doesn't affect ZSH.

You still MUST update bash as most of the system scripts are written for bash and vulnerable to the shellshock bug.

To test your ZSH do this:

env x='() { :;}; echo vulnerable' zsh -c 'echo hello' 

What exactly does this code do?

1. env x='() { :;}; echo vulnerable' creates an environment variable with known bug using command in the end of variable
2. zsh -c 'echo hello' launches ZSH shell with simple hello (and evaluating all env variables including x)

If you see output:

vulnerable hello 

Then your ZSH is vulnerable. Mine (5.0.2) is not:

$ env x='() { :;}; echo vulnerable' zsh -c 'echo hello' hello 

From this link:

You can determine if you are vulnerable to the original problem in CVE-2014-6271 by executing this test:

env x='() { :;}; echo vulnerable' bash -c 'echo hello' 

If you see the word vulnerable in the output of that command your bash is vulnerable and you should update. Below is a vulnerable version from OS X 10.8.5:

env x='() { :;}; echo vulnerable' bash -c 'echo hello' vulnerable hello 

The following output is an example of a non-vulnerable bash version.

$ env x='() { :;}; echo vulnerable' bash -c 'echo hello' bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' hello 

Двоичный файл не затронут

Он не влияет zshкак исполняемый файл оболочки, потому что его исходный код никогда не содержал ошибку.
Есть много сходств между bashи zsh, но они были реализованы независимо друг от друга. Одна и та же функция реализована двумя различными способами и, что более важно, в этом контексте, как правило, с разными ошибками.

Но интерактивное использование

Косвенно это влияет на работу в интерактивном режиме с zshоболочкой в ​​терминале почти так же, как на работу с ним bash.

Использование bashнастолько распространено, что вряд ли можно этого не называть.

Слишком много применений, чтобы избежать

• сценарии, которые вы знаете и ожидаете использовать zsh, но на самом деле содержат bash.
• множество сценариев оболочки, которые используют #!/bin/bashдля указания bashв качестве интерпретатора.

• многие команды, которые вы предполагаете, являются двоичными, но являются сценариями оболочки, некоторые из них используют bash.

• во многих местах, где оболочка выполняется явно, bashможет использоваться и, возможно, требуется.

  • как сложные xargsкоманды или gitпсевдонимы, включающие аргументы
  • стандартные оболочки эмуляторов терминала
  • оболочка пользователей, которым вы судо
  • и т.п.

Нет, Shellshock не влияет на zsh напрямую.

Однако во многих средах, которые используют zsh в качестве оболочки по умолчанию, также установлен bash. Любая оболочка, включая zsh, может быть использована для создания скомпрометированной оболочки bash:

zsh ❯ env X='() { (a)=>\' sh -c "echo date"; cat echo sh: X: line 1: syntax error near unexpected token `=' sh: X: line 1: `' sh: error importing function definition for `X' Fri 26 Sep 2014 12:05:57 BST 

Чтобы защититься от этого, вы должны исправить, удалить или отключить любые избыточные версии bash. Вы можете отключить установку системы bash chmod:

$ chmod a-x /bin/bash 

Однако для сценариев характерно явное обращение к bash. Сценарии, которые делают это, и те, которые используют специфичные для bash функции сценариев, потерпят неудачу, если bash недоступен. Ямочный ремонт - лучшее решение.