Shellshock - não está vulnerável com a versão bash 4.1?

1

Temos vários servidores da Amazon. Tem versão bash 4.1.2. Kaspersky afirma que todas as versões bash até 4.3 são inseguros. Quando eu faço este teste ...

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

... ele retorna: hello e, embora Lifehacker diz que eu deveria receber um erro de volta: bash: warning: x: ignoring function definition attempt bash..... , eu acho que o simples" olá "é bom o suficiente. Ainda estou em dúvida.

Você pode explicar em quais informações posso confiar?

    
por SPRBRN 09.10.2014 / 16:08

1 resposta

2

O número da versão de um programa não é uma boa indicação dos problemas de segurança que ele possui. Quando uma falha de segurança é encontrada, é prática padrão corrigir apenas esse buraco e não atualizar o programa para uma versão posterior que pode se tornar incompatível em casos sutis.

Assim, vendo que você tem bash 4.1 não dá nenhuma informação sobre se é vulnerável a Shellshock. Use um teste como o que você já encontrou. Como x='() { :;}; echo vulnerable' bash -c 'echo hello' não imprime vulnerable , você não está vulnerável ao bug do Shellshock. O fato de você não ver uma mensagem de erro indica que sua cópia do bash também tem correções para corrigir bugs relacionados encontrados na sequência do Shellshock . O artigo que menciona essas mensagens de erro está desatualizado: com as últimas correções, esse comando imprime apenas hello .

    
por 10.10.2014 / 03:17