问题标签 [shellshock-bash-bug]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
bash - Bash 中的 Shellshock 漏洞背后的行为是记录在案还是有意为之?
最近披露了Bash如何解释环境变量的漏洞CVE-2014-6271。该漏洞利用 Bash 将一些环境变量声明解析为函数定义,然后继续执行定义后的代码:
但我不明白。我在 Bash 手册中找不到任何关于将环境变量解释为函数的内容(除了继承函数,这是不同的)。事实上,一个正确的命名函数定义只是被视为一个值:
但是一个腐败的人什么也没打印:
损坏的函数是未命名的,所以我不能直接调用它。这个漏洞是纯粹的实现错误,还是这里有我看不到的预期功能?
更新
根据 Barmar 的评论,我假设函数的名称是参数名称:
我可以发誓我以前尝试过,但我想我没有足够努力。现在可以重复了。这里还有一点测试:
…所以显然在漏洞执行时没有设置参数。
无论如何,我的问题的基本答案是,是的,这就是 Bash 实现继承函数的方式。
ubuntu - 使用 Ansible 和 apt,如何将 bash 更新为可远程利用的安全漏洞 CVE-2014-6271?
鉴于2014 年 9 月 24 日宣布的 bash 远程代码执行漏洞,我如何使用 Ansible 更新基于 apt 的系统?
bash - Shellshock 错误的奇怪 Bash 函数导出
为什么代码
打印
?
在哪里(以及为什么)进行评估
发生并得到
广告:@Etan Reisner
- 我导出一个变量- 而不是一个函数。Bash从中创建了一个函数。这
无论其内容如何,它仍然是一个变量。那么,为什么是
转换成函数?
- 提到的安全公告讨论了变量后面命令的执行,例如,
env-definition 之后的命令在最新的 Bash 中没有执行。
但问题仍然存在 -为什么Bash 将导出的变量转换为函数?
这是一个错误;) 基于@chepner 的回答的完整演示:
印刷
避免长注释,这里是来自 Bash 源的代码:
“古代”(似乎)更好...... :)
bash - 如何利用 Shellshock Bash 漏洞的具体示例是什么?
我阅读了一些关于Shellshock Bash错误(CVE-2014-6271报告于 2014 年 9 月 24 日)的文章(文章1、文章 2 、文章3 ) ,并且大致了解了该漏洞是什么以及如何利用它。为了更好地理解漏洞的影响,什么是一些软件如何利用漏洞的简单而具体的例子?
bash - bash 漏洞 CVE-2014-6271。它会影响我的 CGI perl 脚本吗?这个怎么理解?
昨天报告了 CVE-2014-6271 问题,这是 BASH Shellshock 漏洞。我试图了解它是否会通过我的 Perl CGI 脚本影响我的服务器。
我的代码会受到恶意影响吗?我的代码需要做什么才能受到影响?我应该检查什么来验证这一点?
bash - 如何在 FreeBSD 上检查和升级 Bash - 与 Shellshock 错误相关
我读了这篇文章我今天早上上班时A Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) 。我已经在我负责的大部分系统上更新了Bash ,但是,我被要求在几个FreeBSD服务器上升级 Bash。
如何检查在 FreeBSD 上运行的 Bash 版本以及如何修补它以摆脱此漏洞?
azure - BASH 错误对 Azure 网站、云服务和 SQL 数据库的影响?
刚刚阅读了这个潜在的严重的基于 Linux 的错误。看起来 Azure 应该是安全的,因为它是基于 Windows 的,并且很可能会很快打补丁,这就是我们使用平台即服务 (PAAS) 的原因。
对于任何想知道这与 Try Hunt 有什么关系的人,Try Hunt 有一篇很好的文章:Troy Hunt 的文章
任何人对此有何评论或指针?
谢谢。
bash - Does bash exploit (CVE-2014-6271) require terminal access to utilize?
With all the scare regarding CVE-2014-6271, I've found little concrete information regarding the vulnerability's surface area. In particular, does an individual require terminal access to execute this exploit? I am aware that CGI services that call out to the shell can indirectly provide access to this vulnerability (as per The bash vulnerability CVE-2014-6271 . Can it affect my CGI perl scripts? How to understand this?), but what other vectors of attack exist?
linux - 我很难理解 Shellshock 漏洞验证
我在检查Shellshock漏洞时得到了这个:
很奇怪吧?