우리는 여러 Amazon 서버를 보유하고 있습니다. bash 버전 4.1.2가 있습니다.Kaspersky의 주장4.3까지의 모든 bash 버전은 안전하지 않습니다. 이번 테스트를 해보면..
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
... 반환: hello, 그리고 비록라이프해커 라고나는 오류를 다시 받아야 한다고 생각합니다. bash: warning: x: ignoring function definition attempt bash.....간단한 "hello"만으로도 충분하다고 생각합니다. 아직도 나는 의심스럽다.
어떤 정보를 신뢰할 수 있는지 설명해 주시겠어요?
답변1
프로그램의 버전 번호는 해당 프로그램의 보안 문제를 나타내는 좋은 지표가 아닙니다. 보안 허점이 발견되면 이 허점만 패치하고 프로그램을 미묘한 경우에 호환되지 않는 것으로 판명될 수 있는 최신 버전으로 업그레이드하지 않는 것이 표준 관행입니다.
따라서 bash 4.1이 있다는 것은 Shellshock에 취약한지 여부에 대한 정보를 제공하지 않습니다. 이미 찾은 것과 같은 테스트를 사용하십시오. x='() { :;}; echo vulnerable' bash -c 'echo hello'인쇄되지 않기 때문에vulnerable 버그에 취약하지 않습니다. 오류 메시지가 표시되지 않는다는 사실은 bash 사본에도 수정할 패치가 있음을 나타냅니다.Shellshock 이후 발견된 관련 버그. 이러한 오류 메시지를 언급하는 문서는 오래되었습니다. 최신 수정 사항을 적용하면 이 명령은 hello.