Несогласованная эксплуатация shellshock

Я пытаюсь продемонстрировать уязвимость shellshock в соответствии с командами, опубликованными здесь .

Я рассмотрел две системы: первая имеет уязвимый bash в $ PATH ; у другого есть исправленная версия bash в $ PATH и «предположительно уязвимая» версия в / opt / weak , которая была скомпилирована из исходных текстов.

В первой системе я могу успешно использовать ошибку:

$ bash --version
GNU bash, version 4.1.2(1)-release (i386-redhat-linux-gnu)
[...]

$ cat << EOM | bash
> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
> EOM
vulnerable
this is a test

Во второй системе , как описано выше, в есть исправленный bash. $ PATH и недавно (как несколько часов назад) скомпилированы из исходной версии bash в / opt / уязвимой , которая должна быть уязвимой:

$ bash --version
GNU bash, version 4.3.11(1)-release (i686-pc-linux-gnu)
[...]

$ /opt/vulnerable/bin/bash
GNU bash, version 4.1.0(1)-release (i686-pc-linux-gnu)
[...]

Я передача этих команд через версию по умолчанию уязвимой версии, и я не могу ее использовать:

$ cat << EOM | /opt/vulnerable/bin/bash
> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
> EOM
this is a test

Я также пробовал использовать этот скрипт для тестирования, но он не смог обнаружить ни одной уязвимости. (Команда была введена из исправленной оболочки по умолчанию):

$ /opt/vulnerable/bin/bash shellshock_test.sh
CVE-2014-6271 (original shellshock): not vulnerable
CVE-2014-6277 (segfault): not vulnerable
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable

Я здесь что-то делаю не так? Или все архивы исходных текстов bash на ftp.gnu.org были исправлены против этой уязвимости?