2014年10月4日 星期六

bash vulnerability

打鐵趁熱, 最近這個議題很紅。我不是這方面的專家, 參考這篇文章做的測試: bash代码注入的安全漏洞

文章寫的很清楚, 很容易理解 bash 的漏洞。


有問題的 bash
1 [descent]$ export X='() { echo "inside X"; }; echo "outside X";'
2 [descent]$ bash
3 outside X


在我的 debian unstable 上, 使用下面的使令來更新 bash

apt-get update
apt-get install --only-upgrade bash

4.3-10 修正這個問題
Get:1 http://ftp.us.debian.org/debian/ unstable/main bash i386 4.3-10

b.sh
1 descent@debianlinux:~$ export X='() { echo "inside X"; }; echo "outside X";'
2 descent@debianlinux:~$ bash
3 descent@debianlinux:~$
張貼者: descent 10/04/2014 06:11:00 下午
標籤:

2 則留言:

  1. cam115052014年10月7日 下午6:26:00

    話說....小弟的ubuntu 用了
    apt-get update
    apt-get install --only-upgrade bash
    之後... GUI介面就毀了= ='
    ,login 不進去系統 目前只能乖乖用文字介面..

    回覆刪除
  2. descent2014年10月7日 晚上11:24:00

    不會吧, 看看 x 的 log, 有沒機會救回。

    回覆刪除

使用 google 的 reCAPTCHA 驗證碼, 總算可以輕鬆留言了。

我實在受不了 spam 了, 又不想讓大家的眼睛花掉, 只好放棄匿名留言。這是沒辦法中的辦法了。留言的朋友需要有 google 帳號。

訂閱: 張貼留言 (Atom)