Shellshock – bash バージョン 4.1 では脆弱ではない?

Question

プログラムのバージョン番号は、そのプログラムが抱えるセキュリティ上の問題を示す良い指標ではありません。セキュリティホールが見つかった場合、そのホールのみを修正し、微妙なケースで互換性がないことが判明する可能性のある新しいバージョンにプログラムをアップグレードしないのが標準的な方法です。

したがって、bash 4.1 を使用していることがわかったとしても、Shellshock に対して脆弱であるかどうかについての情報は得られません。すでに見つけたようなテストを使用してください。がx='() { :;}; echo vulnerable' bash -c 'echo hello'印刷されないのでvulnerable、Shellshock バグに対して脆弱ではありません。エラーメッセージが表示されないという事実は、bash のコピーにも修正パッチがあることを示しています。Shellshock の後に発見された関連バグこれらのエラーメッセージについて言及している記事は古くなっています。最新の修正により、このコマンドは単にを印刷するだけですhello。

Answer 1

プログラムのバージョン番号は、そのプログラムが抱えるセキュリティ上の問題を示す良い指標ではありません。セキュリティホールが見つかった場合、そのホールのみを修正し、微妙なケースで互換性がないことが判明する可能性のある新しいバージョンにプログラムをアップグレードしないのが標準的な方法です。

したがって、bash 4.1 を使用していることがわかったとしても、Shellshock に対して脆弱であるかどうかについての情報は得られません。すでに見つけたようなテストを使用してください。がx='() { :;}; echo vulnerable' bash -c 'echo hello'印刷されないのでvulnerable、Shellshock バグに対して脆弱ではありません。エラーメッセージが表示されないという事実は、bash のコピーにも修正パッチがあることを示しています。Shellshock の後に発見された関連バグこれらのエラーメッセージについて言及している記事は古くなっています。最新の修正により、このコマンドは単にを印刷するだけですhello。

Shellshock – bash バージョン 4.1 では脆弱ではない?

答え1

関連情報