Ero sivun ”Shellshock” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p (pre-tagilla) |
Ei muokkausyhteenvetoa |
||
| Rivi 23: | Rivi 23: | ||
* [https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuus-2014-106.html viestintavirasto.fi - Haavoittuvuus Bash-komentotulkissa] | * [https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuus-2014-106.html viestintavirasto.fi - Haavoittuvuus Bash-komentotulkissa] | ||
* [https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409251726.html viestintavirasto.fi -Shellshock-haavoittuvuutta hyödynnetään aktiivisesti] | * [https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409251726.html viestintavirasto.fi -Shellshock-haavoittuvuutta hyödynnetään aktiivisesti] | ||
* [https://www.fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability FSF.org - Free Software Foundation statement on the GNU Bash "shellshock" vulnerability] | |||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] | ||
Versio 27. syyskuuta 2014 kello 10.55
Shellshock tai Bashdoor (CVE-2014-6271 ja CVE-2014-7169) on haavoittuvuus bash-komentotulkissa. Bugi on ollut olemassa bashin versiosta 1.13 lähtien eli jo vuodesta 1992.
Testaus
Alkuperäinen haavoittuva versio antaa tulosteen:
$ env x='() { :;}; echo haavoittuva' bash -c 'echo testi'
haavoittuva
testi
Paikattu versio antaa tulosteen:
$ env x='() { :;}; echo haavoittuva' bash -c 'echo testi'
bash: varoitus: x: ignoring function definition attempt
bash: virhe tuotaessa ”x”:n funktiomääritystä
testi
Paikkauksen jälkeenkin bash kärsii toisesta haavoittuvuudesta, jonka voi testata esimerkiksi näin:
$ env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "haavoittuva"
bash: X: rivi 1: lauseoppivirhe lähellä odottamatonta avainsanaa ”=”
bash: X: rivi 1: `'
bash: virhe tuotaessa ”X”:n funktiomääritystä
haavoittuva