Questa è una dimostrazione che la patch shellshock non funziona?

0

Sto controllando i miei sistemi con il seguente comando:

env X="() { :;} ; echo busted" /bin/sh -c "echo completed"

Che mi dà: "completato", senza "busted", che sembra buono. Così ho provato di nuovo con:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Quale risulta in:

bash: warning: testbug: ignoring function definition attempt
bash: error importing function definition for 'testbug'
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'
this is a test

Che di nuovo, sembra buono. Tuttavia, quando corro:

env x='()' ; echo vulnerable; bash -c "echo this is a test"

Ho una copia di tutte le vars ambientali, seguita da:

_=/usr/bin/env
x=()
vulnerable
bash: warning: testbug: ignoring function definition attempt
bash: error importing function definition for 'testbug'
this is a test

Ora sono preoccupato. Dovrei essere?

EDIT: i due riferimenti a "testbug" sono dovuti a un test precedente che ha definito tale variabile. Ho disinserito quella variabile e il resto dell'output appare ancora

    
posta David Wilkins 25.09.2014 - 21:19
fonte

1 risposta

2

Stai facendo eseguire i comandi da bash separati da ';' a sua volta. Questo è un comportamento normale e non un indicatore del fatto che la patch del bug è inadeguata.

    
risposta data 25.09.2014 - 21:29
fonte

Leggi altre domande sui tag