Unix & Linux shellshock

5

Qu'est-ce que env x = '() {:;}; command 'bash do et pourquoi est-il peu sûr?

Il existe apparemment une vulnérabilité (CVE-2014-6271) dans bash: l' attaque par injection de code des variables d'environnement spécialement conçues de Bash J'essaie de comprendre ce qui se passe, mais je ne suis pas tout à fait sûr de comprendre. Comment peut- echoon l'exécuter tel quel entre guillemets simples? $ env …

237 bash shellshock vulnerability

2

Quand le bogue shellshock (CVE-2014-6271 / 7169) a-t-il été introduit et quel correctif le corrige-t-il complètement?

Un peu de contexte sur le bug: CVE-2014-6271 Bash prend en charge l'exportation non seulement de variables shell, mais également de fonctions shell vers d'autres instances bash, via l'environnement de processus, vers des processus enfants (indirects). Les versions actuelles de bash utilisent une variable d'environnement nommée par le nom de …

122 bash security shellshock

3

comment shellshock peut-il être exploité sur SSH?

Apparemment, l'exploit Csh-2014-6271 de Bash shellshock peut être exploité sur le réseau via SSH. Je peux imaginer comment l'exploit fonctionnerait avec Apache / CGI, mais je ne peux pas imaginer comment cela fonctionnerait avec SSH? Quelqu'un peut-il, s'il vous plaît, donner un exemple de la manière dont la SSH serait …

68 bash ssh shellshock

1

Comment la vulnérabilité Shellshock Bash a-t-elle été trouvée?

Étant donné que ce bogue affecte tant de plates-formes, nous pourrions apprendre quelque chose du processus par lequel cette vulnérabilité a été trouvée: était-ce un moment εὕρηκα (eureka) ou le résultat d'un contrôle de sécurité? Puisque nous savons que Stéphane a trouvé le bogue Shellshock, et que d'autres connaissent également …

19 bash shellshock bugs vulnerability

4

Versions Debian héritées et Bash Shellshock

Nous utilisons Debian Etch, Lenny et Squeeze car aucune mise à niveau n'a été effectuée dans cette boutique; nous avons plus de 150 systèmes exécutant différentes versions de Debian. À la lumière du «choc du shell» de cette semaine, je suppose que je dois mettre à niveau bash. Je ne …

11 bash debian shellshock

1

Pourquoi bash analyse-t-il / exécute-t-il même des éléments placés dans la variable d'environnement?

Le bug shellshock dans bash fonctionne au moyen de variables d'environnement. Honnêtement, j'ai été surpris par le fait qu'il existe une telle fonctionnalité comme: "transmission des définitions de fonction via env vars" Par conséquent, cette question, même si elle n'est peut-être pas parfaitement formulée, est de demander un exemple ou …

9 bash environment-variables function shellshock

2

Pourquoi la capacité de définir des fonctions dans une variable environnementale n'est-elle pas un risque de sécurité en soi?

Si je comprends bien, il est généralement considéré comme sûr de laisser quiconque fournir des informations qui seront stockées dans une variable environnementale. La vulnérabilité shellshock est un problème ici car elle signifie que le code à la fin d'une définition de fonction à l'intérieur d'une variable d'environnement sera exécuté …

9 bash security environment-variables shellshock

2

Comment appliquer le correctif de la vulnérabilité bash CVE-2014-6271 sur cygwin?

Je voudrais savoir comment appliquer le correctif de cette vulnérabilité sur cygwin. Je courais le CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwinde Cygwin sur Windows 7. #bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> $ …

8 bash security cygwin shellshock

Questions marquées «shellshock»