BASH-Exploiten - ett hot för alla Linuxbaserade mottagare??

[nyburgare]

UPA: och om man är osäker på sitt device

Kod:

env x='() { :;}; echo FARLIGT' sh -c "echo kanske säker"

[atomized]

UPA: och om man är osäker på sitt device

Kod:

env x='() { :;}; echo FARLIGT' sh -c "echo kanske säker"

Om du ska få fram farligheten bör den raden ändras till:

Kod:

env x='() { :;}; echo FARLIGT' bash -c "echo kanske säker"

Se nedanstående logg från en maskin med opatchad bash:

Kod:

root@shimmer:~# env x='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
hello
root@shimmer:~# env x='() { :;}; echo FARLIGT' sh -c "echo kanske säker"
kanske säker
root@shimmer:~# env x='() { :;}; echo FARLIGT' bash -c "echo kanske säker"
FARLIGT
kanske säker
root@shimmer:~# ls -al /bin/sh
lrwxrwxrwx 1 root root 4 23 jan  2012 /bin/sh -> dash
root@shimmer:~#

I Debian verkar det vara standard att länka /bin/sh till /bin/dash varför bash-buggen inte syns med det kommando du föreslår.