关于该错误的一些上下文:CVE-2014-6271
Bash 不仅支持将 shell 变量导出,还支持将 shell 函数导出到其他 bash 实例,通过进程环境到(间接)子进程。当前的 bash 版本使用由函数名称命名的环境变量,以及变量值中以“() {”开头的函数定义,以通过环境传播函数定义。该漏洞的出现是因为bash在处理函数定义后没有停止;它会按照函数定义继续解析和执行 shell 命令。例如,环境变量设置
Run Code Online (Sandbox Code Playgroud)VAR=() { ignored; }; /bin/id将环境导入 bash 进程时执行 /bin/id 。
资料来源:http : //seclists.org/oss-sec/2014/q3/650
该错误是什么时候引入的,完全修复它的补丁是什么?(参见CVE-2014-7169)
除了 CVE(最初)(3.{0..2} 和 4.{0..3})中提到的易受攻击版本之外,还有哪些易受攻击的版本?
有问题的源代码是否在其他项目中重用?
需要额外的信息。
我一定在这里遗漏了一些明显的东西。如果同一个软件产品有两个版本相同的 RPM 软件包,其中一个安装在我的一个装备上(有一公吨的软件包作为依赖项),我怎样才能用另一个替换它而不会经历擦除和删除的麻烦重新安装数量惊人的依赖包?
我想通过yum. rpm基于的解决方案(强制)被勉强接受。
该心脏出血漏洞漏洞(CVE-2014-0160)使用OpenSSL易受私人密钥的泄漏使得SSL连接。
这是否意味着 RHEL/CentOS/etc. 中的官方更新频道?和 Debian/Ubuntu 应该被视为妥协?
我在大多数情况下使用 Linux,但有时我仍然需要 Windows。因此,我在我的计算机上安装了 Linux Mint 14 和 Windows 8(双引导),并使用以下磁盘设置:
sda1: Windows 8 分配的 350 MB 分区(我仍然不知道为什么。)sda2: Windows 安装sda3:我的共享 NTFS 驱动器sda5: Linux Mint 14 安装sda6: Linux Mint 的交换区我的大部分文件都在sda3两个操作系统之间共享(有点像我的备份分区)。我可以从两个操作系统访问它。但是,有时我的文件会损坏。
示例:我最近下载了 Eclipse 并将其解压缩到 Linux Mint 中 sda3 驱动器中的文件夹。它工作正常。然后当我切换到 Windows 时,它要求我修复我的驱动器,因为有一些错误。我接受了,Windows 做了一些扫描并重新启动。当我切换回 Linux Mint 时,我注意到 Eclipse 不工作。当我检查时,Eclipse 文件夹中的大多数文件都已损坏。类似的事情也会以其他方式发生。有时我无法在 Windows 中查看和/或打开我在 Linux Mint 中创建/下载的文件。我厌倦了像这样丢失文件。
是硬件问题吗?(我的电脑有点旧)
如果与硬件无关,是否有比我目前拥有的更好的方法在操作系统之间共享数据?(两者都有一个单独的 NTFS 分区)
我试图了解可能存在的安全问题CVE-2014-6271,我看到的所有链接都只提供了以下命令。
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
如果我得到的输出为
vulnerable
this is a test
这意味着我的 bash shell 很脆弱。
但它与安全有什么关系呢?换句话说,会对我的系统造成什么损害?
是否存在用户/调用无法覆盖的环境变量名称setenv?据我从 POSIX1.2008 了解到,任何进程都可以编辑环境块,但必须避免覆盖 LANG 等变量。