Wir haben mehrere Amazon-Server. Es hat die Bash-Version 4.1.2.Kaspersky behauptetdass alle Bash-Versionen bis 4.3 unsicher sind. Wenn ich diesen Test mache ...
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
... es gibt zurück: hello, und obwohlLifehacker sagtdass ich eine Fehlermeldung zurückbekommen sollte: bash: warning: x: ignoring function definition attempt bash.....Ich denke, ein einfaches „Hallo“ reicht aus. Ich bin mir aber immer noch nicht sicher.
Können Sie mir erklären, welchen Informationen ich vertrauen kann?
Antwort1
Die Versionsnummer eines Programms ist kein guter Indikator für die Sicherheitsprobleme, die es hat. Wenn eine Sicherheitslücke gefunden wird, ist es üblich, nur diese Lücke zu schließen und das Programm nicht auf eine neuere Version zu aktualisieren, die sich in subtilen Fällen als inkompatibel erweisen könnte.
Wenn Sie also Bash 4.1 haben, wissen Sie nicht, ob es anfällig für Shellshock ist. Verwenden Sie einen Test wie den, den Sie bereits gefunden haben. Da x='() { :;}; echo vulnerable' bash -c 'echo hello'nicht ausgegeben wird vulnerable, sind Sie nicht anfällig für den Shellshock-Bug. Die Tatsache, dass Sie auch keine Fehlermeldung sehen, weist darauf hin, dass Ihre Kopie von Bash auch Patches zur Behebung hatverwandte Fehler, die im Zuge von Shellshock gefunden wurden. Der Artikel, in dem diese Fehlermeldungen erwähnt werden, ist veraltet: Mit den neuesten Fixes druckt dieser Befehl nur hello.