Ho patchato il mio sistema tuttavia CVE-2014-7169 afferma che la correzione per 6271 era incompleta. Abbastanza sicuro se eseguo il comando qui sotto:
env X='() { (a)=>\' sh -c "echo date"; cat echo
Sembra che l'analisi delle funzioni stia ancora eseguendo il codice in quanto non ricevo un errore come dovrei. Quindi se 6271 consentiva a un utente malintenzionato di eseguire comandi arbitrari a proprio piacimento, questo significa che dopo il patching sei ancora vulnerabile per 7169 ma non nella stessa misura? In tal caso, vuol dire che un utente malintenzionato può ancora sfruttare l'errore, ma l'esecuzione di comandi arbitrari non è più possibile? Quanto più "sicuro" è questo? Qualcuno può fornire un esempio?