Perguntas sobre 'shellshock'

Tags
Shellshock, é uma família de bugs de segurança no amplamente utilizado shell Unix Bash, o primeiro dos quais foi divulgado em 24 de setembro de 2014.
2
respostas

O meu servidor ainda está vulnerável ao Shell Shock?

Eu atualizei meu servidor Debian desde que a vulnerabilidade do Shell Shock era conhecida. Antes da atualização, eu tinha: $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test Agora eu tenho: $...
26.09.2014 / 20:33
3
respostas

como o shellshock pode ser explorado pelo SSH?

Aparentemente, o shellshock Bash explora CVE -2014-6271 pode ser explorado pela rede via SSH. Eu posso imaginar como o exploit funcionaria via Apache / CGI, mas não consigo imaginar como isso funcionaria no SSH? Alguém por favor pode fornec...
25.09.2014 / 15:44
1
resposta

Como foi encontrada a vulnerabilidade do shellshock bash?

Como esse bug afeta muitas plataformas, podemos aprender algo a partir do processo pelo qual essa vulnerabilidade foi encontrada: foi um momento εὕρηκα (eureka) ou o resultado de uma verificação de segurança? Desde que sabemos que Stéphane en...
15.10.2014 / 17:44
4
respostas

Legacy versões do Debian e Bash Shellshock

Nós estamos executando Debian Etch, Lenny e Squeeze porque atualizações nunca foram feitas nesta loja; temos mais de 150 sistemas executando várias versões do Debian. À luz do "choque de shell" desta semana, eu suponho que preciso atualizar o ba...
26.09.2014 / 20:32
1
resposta

Por que o bash ainda analisa / executa coisas colocadas na variável de ambiente?

O bug shellshock no bash funciona por meio de variáveis de ambiente. Honestamente fiquei surpreso pelo fato de que existe uma característica como: "passando das definições de função via env vars" Portanto, esta questão, embora talvez não...
27.09.2014 / 13:28
2
respostas

Por que a capacidade de definir funções em uma variável de ambiente não é um risco de segurança em si?

Pelo que entendi, geralmente é considerado seguro deixar alguém fornecer informações que serão armazenadas em uma variável ambiental. A vulnerabilidade do shellshock é um problema aqui porque significa que o código no final de uma definição de f...
26.09.2014 / 18:16
2
respostas

Como aplicar a correção para a vulnerabilidade do CVE-2014-6271 bash no cygwin?

Gostaria de saber como aplicar a correção para esta vulnerabilidade no cygwin. Estou executando o CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwin do cygwin no Windows 7. #bash -version GNU bash, version 4.1.1...
25.09.2014 / 18:28
1
resposta

Qual é a gravidade da nova exploração bash (shellshock)? [duplicado]

Título alternativo: Devo estar preocupado? Eu tenho lido sobre a exploração de bash remoto e queria saber como grave é e se eu deveria estar preocupado, especialmente desde que um novo exploit foi encontrado após o lançamento do patch....
25.09.2014 / 12:19
1
resposta

Como funciona 'env x =' () {(a) = \ 'sh -c “echo date”?

Depois de ler sobre a mais recente vulnerabilidade bash , fiquei imaginando como a exploração de Tavis Ormandy funciona. Como funciona (a)=>\ ? Ele postou: The bash patch seems incomplete to me, function parsing is still brittle....
25.09.2014 / 11:28
5
respostas

Como atualizo o bash nas versões do EOL Ubuntu?

Ou seja. posso encontrar um pacote suficientemente próximo na próxima distro mais próxima? Ou é complicado, e compilar a partir da fonte é melhor? Ou posso pegar do debian? (Esta questão é sobre pelo menos o Ubuntu 11.10 e 12.10; estou aposta...
26.09.2014 / 10:39