Обходной путь предварительной загрузки ошибки Shellshock Bash

Question

Обходной путь предварительной загрузки ошибки Shellshock Bash

У RedHat был обходной путь для уязвимости Shellshock, которая включает в себя библиотеку предварительной загрузки. URL-адрес исходного кода обходного пути доступен по адресу bash_ld_preload.c.

Но обходные пути теперь, похоже, пропали без вести. Это было плохое решение или нет?

Код:

#include <sys/types.h>
#include <stdlib.h>
#include <string.h>

static void __attribute__ ((constructor)) strip_env(void);
extern char **environ;

static void strip_env()
{
    char *p,*c;
    int i = 0;
    for (p = environ[i]; p!=NULL;i++ ) {
        c = strstr(p,"=() {");
        if (c != NULL) {
            *(c+2) = '\0';
        }
        p = environ[i];
    }
}

2

bash shellshock-bash-bug

Источник

user1161398 25 сен '14 в 21:24

1 ответ

Решение

Другие вопросы по тегам bash shellshock-bash-bug

user14122 25 сен '14 в 21:32 2014-09-25 21:32 · Accepted Answer · 2014-09-25 21:32

Данный код полностью удаляет все экспортируемые функции из среды (или, скорее, делает их содержимое пустой строкой).

Это действительно имеет побочный эффект, который вы хотите, сделать уязвимости, связанные с анализом и обработкой экспортируемых функций, спорными.