此次爆出的漏洞在於BASH處理這樣的“函數環境變量”的時候,並沒有以函數結尾“}”為結束,而是壹直執行其後的shell命令!
這是屬於遠程任意代碼執行的安全漏洞,所以完全控制是肯定沒有問題。
官方給出補丁,但是在本地測試證實可以被繞過。
通過升級後官方給出的測試方法是:env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
此次爆出的漏洞在於BASH處理這樣的“函數環境變量”的時候,並沒有以函數結尾“}”為結束,而是壹直執行其後的shell命令!
這是屬於遠程任意代碼執行的安全漏洞,所以完全控制是肯定沒有問題。
官方給出補丁,但是在本地測試證實可以被繞過。
通過升級後官方給出的測試方法是:env x='() { :;}; echo vulnerable' bash -c "echo this is a test"