Temos vários servidores Amazon. Possui bash versão 4.1.2.Reivindicações da Kasperskyque todas as versões do bash até 4.3 não são seguras. Quando eu fizer esse teste...
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
... ele retorna: hello
, e mesmo queLifehacker dizque eu deveria receber um erro: bash: warning: x: ignoring function definition attempt bash.....
, acho que o simples "olá" é bom o suficiente. Ainda estou em dúvida.
Você pode explicar em quais informações posso confiar?
Responder1
O número da versão de um programa não é uma boa indicação dos problemas de segurança que ele apresenta. Quando uma falha de segurança é encontrada, é prática padrão corrigir apenas essa falha e não atualizar o programa para uma versão posterior, que pode ser incompatível em casos sutis.
Portanto, ver que você possui o bash 4.1 não fornece nenhuma informação sobre se ele é vulnerável ao Shellshock. Use um teste como o que você já encontrou. Como x='() { :;}; echo vulnerable' bash -c 'echo hello'
não imprime vulnerable
, você não está vulnerável ao bug Shellshock. O fato de você não ver uma mensagem de erro indica que sua cópia do bash também possui patches para corrigirbugs relacionados encontrados após Shellshock. O artigo que menciona essas mensagens de erro está desatualizado: com as correções mais recentes, este comando apenas imprime arquivos hello
.