Ero sivun ”Shellshock” versioiden välillä
Siirry navigaatioon
Siirry hakuun
(Ak: Uusi sivu: '''Shellshock''' tai '''Bashdoor''' (CVE-2014-6271 ja CVE-2014-7169) on haavoittuvuus bash-komentotulkissa. Bugi on ollut olemassa bashin versiosta 1.13 lähtien eli jo vuodest...) |
p (pre-tagilla) |
||
Rivi 3: | Rivi 3: | ||
==Testaus== | ==Testaus== | ||
Alkuperäinen haavoittuva versio antaa tulosteen: | Alkuperäinen haavoittuva versio antaa tulosteen: | ||
<pre>$ env x='() { :;}; echo haavoittuva' bash -c 'echo testi' | |||
haavoittuva | |||
testi</pre> | |||
Paikattu versio antaa tulosteen: | Paikattu versio antaa tulosteen: | ||
<pre>$ env x='() { :;}; echo haavoittuva' bash -c 'echo testi' | |||
bash: varoitus: x: ignoring function definition attempt | |||
bash: virhe tuotaessa ”x”:n funktiomääritystä | |||
testi</pre> | |||
Paikkauksen jälkeenkin bash kärsii toisesta haavoittuvuudesta, jonka voi testata esimerkiksi näin: | Paikkauksen jälkeenkin bash kärsii toisesta haavoittuvuudesta, jonka voi testata esimerkiksi näin: | ||
<pre>$ env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "haavoittuva" | |||
bash: X: rivi 1: lauseoppivirhe lähellä odottamatonta avainsanaa ”=” | |||
bash: X: rivi 1: `' | |||
bash: virhe tuotaessa ”X”:n funktiomääritystä | |||
haavoittuva</pre> | |||
==Aiheesta muualla== | ==Aiheesta muualla== |
Versio 27. syyskuuta 2014 kello 10.36
Shellshock tai Bashdoor (CVE-2014-6271 ja CVE-2014-7169) on haavoittuvuus bash-komentotulkissa. Bugi on ollut olemassa bashin versiosta 1.13 lähtien eli jo vuodesta 1992.
Testaus
Alkuperäinen haavoittuva versio antaa tulosteen:
$ env x='() { :;}; echo haavoittuva' bash -c 'echo testi' haavoittuva testi
Paikattu versio antaa tulosteen:
$ env x='() { :;}; echo haavoittuva' bash -c 'echo testi' bash: varoitus: x: ignoring function definition attempt bash: virhe tuotaessa ”x”:n funktiomääritystä testi
Paikkauksen jälkeenkin bash kärsii toisesta haavoittuvuudesta, jonka voi testata esimerkiksi näin:
$ env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "haavoittuva" bash: X: rivi 1: lauseoppivirhe lähellä odottamatonta avainsanaa ”=” bash: X: rivi 1: `' bash: virhe tuotaessa ”X”:n funktiomääritystä haavoittuva