Preguntas etiquetadas con shellshock

Aparentemente hay una vulnerabilidad (CVE-2014-6271) en bash: Bash ataque de inyección de código de variables de entorno especialmente diseñado Estoy tratando de descubrir qué está sucediendo, pero no estoy completamente seguro de entenderlo. ¿Cómo se echopuede ejecutar como está entre comillas simples? $ env x='() { :;}; echo vulnerable' bash …

237 bash  shellshock  vulnerability 

Algún contexto sobre el error: CVE-2014-6271 Bash admite la exportación no solo de variables de shell, sino también de funciones de shell a otras instancias de bash, a través del entorno del proceso a procesos secundarios (indirectos). Las versiones actuales de bash usan una variable de entorno nombrada por el …

122 bash  security  shellshock 

Aparentemente, el exploit shellshock Bash CVE-2014-6271 puede explotarse a través de la red a través de SSH. Puedo imaginar cómo funcionaría el exploit a través de Apache / CGI, pero no puedo imaginar cómo funcionaría eso en SSH. ¿Alguien puede dar un ejemplo de cómo se explotaría SSH y qué …

68 bash  ssh  shellshock 

Dado que este error afecta a muchas plataformas, podríamos aprender algo del proceso por el cual se encontró esta vulnerabilidad: ¿fue un momento εὕρηκα (eureka) o el resultado de una verificación de seguridad? Como sabemos que Stéphane encontró el error Shellshock, y otros también pueden conocer el proceso, nos interesaría …

19 bash  shellshock  bugs  vulnerability 

Estamos ejecutando Debian Etch, Lenny y Squeeze porque nunca se han realizado actualizaciones en esta tienda; Tenemos más de 150 sistemas que ejecutan varias versiones de Debian. A la luz del "shock de shell" de esta semana, supongo que necesito actualizar bash. No conozco Debian, así que estoy preocupado. ¿Puedo …

11 bash  debian  shellshock 

El error shellshock en bash funciona a través de variables de entorno. Honestamente, me sorprendió el hecho de que existe una característica como: "transmisión de definiciones de funciones a través de env vars" Por lo tanto, esta pregunta, aunque quizás no esté perfectamente formulada, es pedir un ejemplo o un …

9 bash  environment-variables  function  shellshock 

Según tengo entendido, generalmente se considera seguro permitir que cualquiera proporcione información que se almacenará en una variable ambiental. La vulnerabilidad de shellshock es un problema aquí porque significa que el código al final de una definición de función dentro de una variable ambiental se ejecutará cuando se inicie una …

9 bash  security  environment-variables  shellshock 

Me gustaría saber cómo aplico la solución para esta vulnerabilidad en cygwin. Estoy ejecutando el CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 Cygwinde cygwin en Windows 7. #bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> $ …

8 bash  security  cygwin  shellshock