Es gibt anscheinend eine Sicherheitsanfälligkeit (CVE-2014-6271) in bash: Bash speziell gestaltete Umgebungsvariablen Code-Injection-Angriff Ich versuche herauszufinden, was passiert, aber ich bin nicht ganz sicher, ob ich es verstehe. Wie kann das echoausgeführt werden, wie es in einfachen...
Ein wenig Kontext zum Fehler: CVE-2014-6271 Bash unterstützt den Export nicht nur von Shell-Variablen, sondern auch von Shell-Funktionen in andere Bash-Instanzen über die Prozessumgebung in (indirekte) untergeordnete Prozesse. Aktuelle Bash-Versionen verwenden eine Umgebungsvariable, die nach dem...
Anscheinend kann der Shellshock-Bash-Exploit CVE-2014-6271 über das Netzwerk via SSH ausgenutzt werden. Ich kann mir vorstellen, wie der Exploit über Apache / CGI funktionieren würde, aber ich kann mir nicht vorstellen, wie das über SSH funktionieren würde. Kann jemand bitte ein Beispiel geben, wie...
Da dieser Fehler so viele Plattformen betrifft, können wir aus dem Prozess, durch den diese Sicherheitsanfälligkeit gefunden wurde, etwas lernen: War es ein εὕρηκα (eureka) Moment oder das Ergebnis einer Sicherheitsüberprüfung? Da wir wissen, dass Stéphane den Shellshock-Bug gefunden hat und andere...
Wir führen Debian Etch, Lenny und Squeeze aus, da in diesem Shop noch nie Upgrades durchgeführt wurden. Wir haben über 150 Systeme, auf denen verschiedene Debian-Versionen ausgeführt werden. Angesichts des "Shell-Schocks" dieser Woche gehe ich davon aus, dass ich Bash aktualisieren muss. Ich kenne...
Nach meinem Verständnis wird es im Allgemeinen als sicher angesehen, dass jeder Informationen bereitstellt, die in einer Umgebungsvariablen gespeichert werden. Die Shellshock-Sicherheitsanfälligkeit ist hier ein Problem, da Code am Ende einer Funktionsdefinition innerhalb einer Umgebungsvariablen...
Der Shellshock- Fehler in Bash funktioniert über Umgebungsvariablen. Ehrlich gesagt war ich überrascht von der Tatsache, dass es so ein Feature gibt wie: "Weitergabe von Funktionsdefinitionen über env vars" Daher ist diese Frage, obwohl sie möglicherweise nicht perfekt formuliert ist, die Frage...
Ich möchte herausfinden, wie ich das Update für diese Sicherheitsanfälligkeit auf Cygwin anwende. Ich verwende CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 CygwinCygwin unter Windows 7. #bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C)...
Nachdem ich über die neueste bashSicherheitsanfälligkeit gelesen hatte , fragte ich mich, wie der Exploit von Tavis Ormandy funktioniert. Wie funktioniert das (a)=>\? Er hat gepostet: Das Bash-Patch scheint mir unvollständig zu sein, die Funktionsanalyse ist immer noch spröde. z.B $ env X='() {...