Основные блоги b.Z » Все блоги » Про интернет » CVE-2014-6271: удалённое выполнение кода в Bash

CVE-2014-6271: удалённое выполнение кода в Bash

Все блоги / Про интернет 24 сентября 2014 416   
Смотреть в Telegram Поделиться в TG
Сегодня были опубликованы детали об уязвимости в Bash.
Вкратце, Bash позволяет экспортировать функции как переменные окружения:

$ myfunc() { echo "Hello"; }$ export -f myfunc$ env | grep -A1 ^myfuncmyfunc=() { echo "Hello"}

Уязвимость состоит в том, что если после тела функции (после последнего символа "}") добавить ещё какую-нибудь команду, и экспортировать её — она будет выполнена при вызове дочернего интерпретатора:
Читать дальше →

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Исправление уязвимости shellshock для устаревших систем

Для дистрибутивов с действующей поддержкой уязвимость Shellshock устраняется простым обновлением пакета bash. Но если обновления уже не выпускаются, решение проблемы будет сложнее. Рабочих вариантов всего два — обновлять bash другим способом или отказываться от bash в пользу другого

подробнее »
2 октября 2014
[Из песочницы] Начало активного применения ShellShock

Доброе время суток %username%! Хочу рассказать историю о том, как мой сервер каждый день подвергается атаке через CVE-2014-6271 (shellshock). Для тех, кто вдруг упустил это из виду, две публикации на «Хабре»: «CVE-2014-6271, CVE-2014-7169: удалённое выполнение кода в Bash» и «Новая опасная

подробнее »
29 сентября 2014
Новая опасная уязвимость ShellShock позволяет атаковать множество устройств, от смартфонов до промышленных серверов

Эксперты Positive Technologies предупреждают о новой уязвимости ShellShock (CVE-2014-6271), использование которой позволяет выполнить произвольный код. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни — смартфоны и

подробнее »
25 сентября 2014
«Баш на Баш» — сервис для обмена машинами, личными вещами и бытовой техникой

Сегодня в рубрике «Стартапы» — сервис «Баш на Баш», который позволяет пользователям обмениваться предметами быта, машинами, личными вещами. Передаем микрофон.

подробнее »
19 декабря 2016
Критическая уязвимость библиотеки glibc позволяет осуществлять удаленное выполнение кода

Исследователи Google обнаружили критическую уязвимость в библиотеке glibc (GNU C Library). В функции getaddrinfo(), которая отвечает за разбор доменных имен, происходит переполнение буфера — ошибка позволяет злоумышленникам осуществлять удаленное выполнение кода. Эксплуатация уязвимости, получившей

подробнее »
17 февраля 2016
BASH!Today — сервис для бронирования лофтов, фотографов и диджеев для мероприятий

Сегодня в рубрике «Стартапы» — маркетплейс BASH!Today, который позволяет бронировать лофты, фотографов и диджеев для организации мероприятий. Передаём им микрофон.

подробнее »
6 августа 2015
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии