5
ответов
Как я обновляю удар на EOL версии Ubuntu?
Т.е. я могу найти достаточно близкий пакет в следующем ближайшем дистрибутиве? Или это сложно, и компилирующий из источника лучше? Или я могу захватить его от debian? (Этот вопрос, по крайней мере, о Ubuntu 11....
06.08.2018
5
ответов
Что делает ENV x = '() {:;}; управляйте, чтобы' удар сделал и почему это небезопасно?
Существует, по-видимому, уязвимость (CVE-2014-6271) в ударе: Bash особенно обработал инжекционное нападение кода переменных среды, я пытаюсь выяснить то, что происходит, но я не совсем уверен...
15.07.2015
2
ответа
Почему способность состоит в том, чтобы определить функции в переменной окружения не угроза безопасности сам по себе?
Насколько я понимаю обычно считают безопасным позволить любому предоставить информацию, которая будет храниться в переменной окружения. Уязвимость контузии является проблемой здесь, потому что это означает...
22.05.2016
2
ответа
Одна контузия удара, фиксируют файл tar для SLES плохо?
SERVER:/home/user # об/мин-Uvh - тестируют readline-5.1-24.4.7406.0. PTF.898762.i586.rpm, предупреждающий: readline-5.1-24.4.7406.0. PTF.898762.i586.rpm: подпись V3 DSA: NOKEY, ключевая идентификационная b37b98a9 ошибка: Неудавшийся...
15.10.2014
2
ответа
Действительно ли оболочка “sh” FreeBSD уязвима для Контузии?
У меня есть сервер для персонального использования рабочий FreeBSD 10, и этому не установили Bash и никогда не делало. Однако это идет со своей собственной совместимой POSIX оболочкой "sh". Сделайте я должен волноваться о...
30.09.2014
2
ответа
Как подать заявку, фиксация для CVE-2014-6271 колотят уязвимость на cygwin?
Я хотел бы узнать, как я применяю фиксацию для этой уязвимости на cygwin. Я выполняю CYGWIN_NT-6.1 MYHOSTNAME 1.7.30 (0.272/5/3) 23.05.2014 10:36 x86_64 Cygwin cygwin в Windows 7...
26.09.2014
1
ответ
Как уязвимость Bash Контузии была найдена?
Так как эта ошибка влияет на такое количество платформ, мы могли бы узнать о чем-то из процесса, которым была найдена эта уязвимость: действительно ли это был εὕρηκα (эврика) момент или результат проверки защиты? Так как мы...
12.12.2014
1
ответ
Ошибка контузии может быть expoloited для выполнения команды как привилегированного пользователя?
Мне любопытно знать, могла ли следующая команда быть выполнена в системе/сервере с ошибкой Контузии: завихритесь-H "Агент пользователя: () {:;}; sudo/bin/eject" http://example.com/ (Этот код...
12.12.2014
1
ответ
Контузия - не уязвимый с версией 4.1 удара?
У нас есть несколько серверов Amazon. Это имеет версию 4.1.2 удара. Kaspersky утверждает, что все версии удара до 4,3 небезопасны. Когда я делаю этот тест... ENV x = '() {:;}; повторите уязвимый' удар-c 'эхо привет'...
10.10.2014
1
ответ
Обновление удара против контузии на Linux Mint 16
По-видимому, человек диспетчера пакетов LM находится в отпуске, поэтому даже актуальное поле Mint 16 уязвимо для исходной Контузии CVE. Как Вы обновляете такую систему между тем?
02.10.2014
1
ответ
решение для контузии для nexenta/solaris
Я пытаюсь решить проблему контузии о своей системе: Солярис SunOS localhost 5.11 NexentaOS_134f i86pc i386 i86pc # удар - версия удар GNU, версия 3.2.48 (1) - выпуск (i386-pc-solaris2.11)...
28.09.2014
1
ответ
Почему удар даже анализирует/выполняет материал, вставленный в переменную среды?
Ошибка контузии в ударе работает посредством переменных среды. Честно я был удивлен тем, что существует такая функция как: "передача функциональных определений через огибающий Вар" Поэтому...
28.09.2014
0
ответов
Несогласованная эксплуатация shellshock
Я пытаюсь продемонстрировать уязвимость shellshock в соответствии с размещенными здесь командами. Я рассмотрел две системы: первая имеет уязвимый bash в $ PATH; другой ...
18.11.2015
0
ответов
Уязвим ли мой монетный двор Linux для атак Shell-Shock? Как я могу это исправить? [закрыто]
Безопасно ли сейчас использовать Linux Mint при существующем ShellShock? Если нет, что я могу сделать, чтобы безопасно использовать Mint?
05.11.2014
0
ответов
CVE-2014-6271 Пример уязвимости Bash [дубликат]
Я пытаюсь понять, что может быть проблемой безопасности CVE-2014-6271, и все ссылки, которые я вижу, дают мне команду ниже. env x = '() {:;}; echo weak 'bash -c "echo this is a test"
...
25.09.2014
Еще нет никакого руководства использования этим тегом …!
Руководство использования, также известное как тег выборка Wiki, является короткой аннотацией, которая описывает, когда и почему тег должен использоваться на этом сайте конкретно.
Вопросы о сценариях оболочки, исполняемые файлы, которые интерпретируются оболочкой (удар, zsh, и т.д.).
Сценарии Shell часто считают простым проблемно-ориентированным языком программирования. Типичные операции, выполненные сценариями оболочки, включают управление файлом, выполнение программы и текст печати.
Дальнейшее чтение
- Лучший способ принять изменения 'Да' от приглашения оболочки
- Почему лучше использовать "#!/usr/bin/env ИМЯ" вместо "#!/path/to/NAME" как моя хижина?
- Корректные сценарии оболочки привязки?
- Как я выхожу из сценария в условном операторе?
- Различные способы выполнить сценарий оболочки
Вопросы о сценариях оболочки, исполняемые файлы, которые интерпретируются оболочкой (удар, zsh, и т.д.).
Сценарии Shell часто считают простым проблемно-ориентированным языком программирования. Типичные операции, выполненные сценариями оболочки, включают управление файлом, выполнение программы и текст печати.
Дальнейшее чтение
- Лучший способ принять изменения 'Да' от приглашения оболочки
- Почему лучше использовать "#!/usr/bin/env ИМЯ" вместо "#!/path/to/NAME" как моя хижина?
- Корректные сценарии оболочки привязки?
- Как я выхожу из сценария в условном операторе?
- Различные способы выполнить сценарий оболочки
Контузия является серией уязвимостей системы обеспечения безопасности в ударе, начиная с (CVE-2014-6271), который позволяет выполнение произвольного кода от переменных среды.
Контузия является уязвимостью CVE-2014-6271 в ударе (другие оболочки не затронуты), сообщаемый Stéphane Chazelas в сентябре 2014.
Bash импортирует функциональные определения из среды, когда это запускается; уязвимость происходит из-за выполнения произвольного кода от особенно обработанных переменных среды.
Общие удаленные векторы выполнения включают сценарии CGI, OpenSSH вызвал команды и некоторые серверы DHCP. Локальные векторы выполнения включают сценарии удара, выполняемые с поднятыми полномочиями или со значениями среды, полученными из недоверяемых источников; sudo не затронут, потому что он отфильтровывает записи среды, которые похожи на экспортируемые функции удара.
В связи с начальным исследованием еще несколько уязвимостей были обнаружены в той же части кода удара.
Для устранения этих уязвимостей обновление колотит версии, которая фиксирует CVE-2014-6271 и другие уязвимости. Примените обновления системы защиты своего распределения, как обычно. Для редких пользователей, которые устанавливают удар из источника, патчи были обеспечены для всех затрагиваемых версий.