Am Samstag 27 September 2014, 17:05:32 schrieb Denny Bortfeldt: > es gab zwei Sicherheitslöcher die gefixt wurden sind, das eine mit 7u1, das > andere mit 7u3. Testen, ob man sicher ist, kann man wie folgt: > > Sicherheitsloch 1 (fixed mit 7u1): > $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" > (Hier darf kein "vulnerable" stehen) > > Sicherheitsloch 2 (fixed mit 7u3): > $ env X='() { (a)=>\' sh -c "echo date"; cat echo > (Hier darf nur "date" erscheinen und nicht das aktuelle Datum + Uhrzeit) Moin, sh ist aber nicht optimal, weil $ ls -l $(which sh) lrwxrwxrwx 1 root root 4 Mai 17 2013 /bin/sh -> dash Gruß Uwe
Attachment:
signature.asc
Description: This is a digitally signed message part.