Sicherheitslücke in Bash

Status
Für weitere Antworten geschlossen.

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
2. Test? - hilf mir mal kurz. Meist du das?
Code:
root@DS212:~# env X='() { (a)=>\' sh -c "echo date"; cat echo
date
cat: can't open 'echo': No such file or directory
oder fehlt da noch was ?
 

dil88

Benutzer
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.835
Punkte für Reaktionen
2.272
Punkte
829
Ja, genau den meinte ich.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
ist das nun gut oder schlecht? (sorry, hab das Thema nicht sooo intensiv verfolgt).

PS: Signatur aktualisiert.
 
Zuletzt bearbeitet:

dil88

Benutzer
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.835
Punkte für Reaktionen
2.272
Punkte
829
Gut, es entspricht dem Ergebnis von fpo4711 in Beitrag #37.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
es gibt bei shellshocker.net ein Testscript welches alle Lücken abklopft. Bei mir bash 3.2.54 sind einige immer noch offen
Code:
ds1513> bash --version
GNU bash, version 3.2.54(1)-release (i686-pc-linux-gnu)
Copyright (C) 2007 Free Software Foundation, Inc.
ds1513> curl -k https://shellshocker.net/shellshock_test.sh 2>/dev/null | bash
CVE-2014-6271 (original shellshock): not vulnerable
bash: line 16: 11815 Segmentation fault      (core dumped) bash -c "f() { x() { _;}; x() { _;} <<a; }" 2> /dev/null
CVE-2014-6277 (segfault): VULNERABLE
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
bash: line 49: 11832 Segmentation fault      (core dumped) bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' 2> /dev/null
CVE-2014-7186 (redir_stack bug): VULNERABLE
bash: line 129: syntax error near `x129'
bash: line 129: `for x129 in ; do :'
CVE-2014-7187 (nested loops off by one): VULNERABLE
CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable
bei aktuellen Debians undRedHats ist nur noch die 6277 offen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat