Shellshock – bash バージョン 4.1 では脆弱ではない?

Shellshock – bash バージョン 4.1 では脆弱ではない?

弊社には複数の Amazon サーバーがあります。bash バージョンは 4.1.2 です。カスペルスキーの主張4.3 までのすべての bash バージョンは安全ではない。このテストを実行すると...

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

... はhello次のように返されます。ライフハッカーは言うエラーが返されるはずです: bash: warning: x: ignoring function definition attempt bash.....、単純な「hello」で十分だと思います。それでもまだ疑問です。

どのような情報が信頼できるのか説明していただけますか?

答え1

プログラムのバージョン番号は、そのプログラムが抱えるセキュリティ上の問題を示す良い指標ではありません。セキュリティホールが見つかった場合、そのホールのみを修正し、微妙なケースで互換性がないことが判明する可能性のある新しいバージョンにプログラムをアップグレードしないのが標準的な方法です。

したがって、bash 4.1 を使用していることがわかったとしても、Shellshock に対して脆弱であるかどうかについての情報は得られません。すでに見つけたようなテストを使用してください。 がx='() { :;}; echo vulnerable' bash -c 'echo hello'印刷されないのでvulnerable、Shellshock バグに対して脆弱ではありません。エラーメッセージが表示されないという事実は、bash のコピーにも修正パッチがあることを示しています。Shellshock の後に発見された関連バグこれらのエラー メッセージについて言及している記事は古くなっています。最新の修正により、このコマンドは単に を印刷するだけですhello

関連情報