Fonds Linux
  1. Fonds Linux
  3. Shellshock – pas vulnérable avec la version 4.1 de bash?
Intereting Posts
Comment supprimer récursivement les permissions d'exécution des files sans toucher aux dossiers? Comment voir la page de manuel de la command précédente? Remplacer la nouvelle ligne + l'espace 4x par la nouvelle ligne dans stdout Tout outil de traçage (basé sur du text) dans la boîte à outils Unix? Comment résoudre "votre browser n'autorise pas l'access au presse-papiers de votre ordinateur" sur Google Documents? Fichier journal des commands exécutées par l'user xclip fonctionne différemment dans les shells interactives et non-interactives Bonne pratique pour utiliser la même paire de keys SSH sur plusieurs machines? forcer la copy d'un directory de base corrompu Pointeurs de liens absolus, capables de travailler dans un autre système Que signifie \ bi \ b dans un schéma grep? Modifier une valeur dans un file de configuration ou append le paramètre s'il n'existe pas? datatables de récupération de RAID et l'échec de disque (Linux) Pourquoi ne peut pas lire à partir de / dev / urandom sur OSX? Programme qui transmet STDIN à STDOUT avec des codes de colors supprimés?

Shellshock – pas vulnérable avec la version 4.1 de bash?

Nous avons plusieurs servers Amazon. Il a la version 4.1.2 de bash. Kaspersky prétend que toutes les versions bash jusqu'à 4.3 sont dangereuses. Quand je fais ce test … 

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

… il returnne: hello , et même si Lifehacker dit que je devrais avoir une erreur en return: bash: warning: x: ignoring function definition attempt bash..... , je suppose que le simple "bonjour" est assez bon. Pourtant, je suis dans le doute.

Pouvez-vous expliquer quelles informations je peux faire confiance?

Le numéro de version d'un programme n'est pas une bonne indication des problèmes de security qu'il présente. Lorsqu'un trou de security est détecté, il est de pratique courante de corriger ce trou et de ne pas mettre le programme à niveau dans une version ultérieure qui peut s'avérer incompatible dans des cas subtils.

Ainsi, voir que vous avez bash 4.1 ne donne aucune information quant à savoir s'il est vulnérable à Shellshock. Utilisez un test tel que celui que vous avez déjà trouvé. Depuis x='() { :;}; echo vulnerable' bash -c 'echo hello' x='() { :;}; echo vulnerable' bash -c 'echo hello' n'imprime pas vulnerable , vous n'êtes pas vulnérable au bug Shellshock. Le fait que vous ne voyez pas un message d'erreur indique que votre copy de bash a également des correctifs pour corriger les bogues liés trouvés dans le sillage de Shellshock . L'article mentionnant ces messages d'erreur est obsolète: avec les derniers correctifs, cette command imprime juste hello .