Disponemos de varios servidores de Amazon. Tiene la versión 4.1.2 de bash.Kaspersky afirmaque todas las versiones de bash hasta la 4.3 no son seguras. Cuando hago esta prueba...
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
... devuelve: hello
, y aunqueHacker diceque debería recibir un error: bash: warning: x: ignoring function definition attempt bash.....
Supongo que el simple "hola" es suficiente. Todavía estoy en duda.
¿Puedes explicar en qué información puedo confiar?
Respuesta1
El número de versión de un programa no es una buena indicación de los problemas de seguridad que tiene. Cuando se encuentra un agujero de seguridad, es una práctica estándar reparar solo este agujero y no actualizar el programa a una versión posterior que puede resultar incompatible en casos sutiles.
Por lo tanto, ver que tiene bash 4.1 no proporciona ninguna información sobre si es vulnerable a Shellshock. Utilice una prueba como la que ya ha encontrado. Como x='() { :;}; echo vulnerable' bash -c 'echo hello'
no imprime vulnerable
, no eres vulnerable al error Shellshock. El hecho de que no veas un mensaje de error indica que tu copia de bash también tiene parches que arreglarerrores relacionados encontrados a raíz de Shellshock. El artículo que menciona estos mensajes de error no está actualizado: con las últimas correcciones, este comando simplemente imprime hello
.