Am Samstag 27 September 2014, 17:05:32 schrieb Denny Bortfeldt:
> es gab zwei Sicherheitslöcher die gefixt wurden sind, das eine mit 7u1, das
> andere mit 7u3. Testen, ob man sicher ist, kann man wie folgt:
>
> Sicherheitsloch 1 (fixed mit 7u1):
> $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
> (Hier darf kein "vulnerable" stehen)
>
> Sicherheitsloch 2 (fixed mit 7u3):
> $ env X='() { (a)=>\' sh -c "echo date"; cat echo
> (Hier darf nur "date" erscheinen und nicht das aktuelle Datum + Uhrzeit)
Moin,
sh ist aber nicht optimal, weil $ ls -l $(which sh)
lrwxrwxrwx 1 root root 4 Mai 17 2013 /bin/sh -> dash
Gruß Uwe
Attachment:
signature.asc
Description: This is a digitally signed message part.