Ero sivun ”Shellshock” versioiden välillä
Siirry navigaatioon
Siirry hakuun
(Ak: Uusi sivu: '''Shellshock''' tai '''Bashdoor''' (CVE-2014-6271 ja CVE-2014-7169) on haavoittuvuus bash-komentotulkissa. Bugi on ollut olemassa bashin versiosta 1.13 lähtien eli jo vuodest...) |
pEi muokkausyhteenvetoa |
||
(5 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
Rivi 2: | Rivi 2: | ||
==Testaus== | ==Testaus== | ||
{{Oikeudet}} | |||
===CVE-2014-6271=== | |||
Mikäli sana "haavoittuva" tulostuu, on bash haavoittuva. | |||
<pre> | |||
$ env x='() { :;}; echo haavoittuva' bash -c "echo testi" | |||
</pre> | |||
===CVE-2014-7169=== | |||
Mikäli päiväys tulostuu, on bash haavoittuva. | |||
<pre> | |||
$ env X='() { (linux.fi)=>\' bash -c "echo date"; cat echo ; rm -f echo | |||
</pre> | |||
===CVE-???=== | |||
Mikäli sana "haavoittuva" tulostuu, on bash haavoittuva. | |||
<pre> | |||
$ env -i X=' () { }; echo haavoittuva' bash -c 'date' | |||
</pre> | |||
===CVE-2014-7186=== | |||
Mikäli sana "haavoittuva" tulostuu, on bash haavoittuva. | |||
<pre> | |||
$ bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' || echo "CVE-2014-7186 haavoittuva, redir_stack" | |||
</pre> | |||
===CVE-2014-7187=== | |||
Mikäli sana "haavoittuva" tulostuu, on bash haavoittuva. | |||
<pre> | |||
$ (for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash || | |||
echo "CVE-2014-7187 haavoittuva, word_lineno" | |||
</pre> | |||
==Aiheesta muualla== | ==Aiheesta muualla== | ||
* [https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409291547.html viestintävirasto.fi - Ohje Shellshock-haavoittuvuuden testaamiseen Ubuntu-käyttöjärjestelmillä] | |||
* [https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuus-2014-106.html viestintavirasto.fi - Haavoittuvuus Bash-komentotulkissa] | * [https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuus-2014-106.html viestintavirasto.fi - Haavoittuvuus Bash-komentotulkissa] | ||
* [https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409251726.html viestintavirasto.fi -Shellshock-haavoittuvuutta hyödynnetään aktiivisesti] | * [https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409251726.html viestintavirasto.fi -Shellshock-haavoittuvuutta hyödynnetään aktiivisesti] | ||
* [https://www.fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability FSF.org - Free Software Foundation statement on the GNU Bash "shellshock" vulnerability] | |||
* [https://shellshocker.net/ shellshocker.net] | |||
[[Luokka:Haavoittuvuudet]] | |||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] |
Nykyinen versio 3. joulukuuta 2020 kello 15.52
Shellshock tai Bashdoor (CVE-2014-6271 ja CVE-2014-7169) on haavoittuvuus bash-komentotulkissa. Bugi on ollut olemassa bashin versiosta 1.13 lähtien eli jo vuodesta 1992.
Testaus[muokkaa]
Komennot, jotka alkavat $-merkillä suoritetaan tavallisena käyttäjänä ja komennot, jotka alkavat #-merkillä suoritetaan pääkäyttäjänä. Katso myös su, sudo ja doas.
CVE-2014-6271[muokkaa]
Mikäli sana "haavoittuva" tulostuu, on bash haavoittuva.
$ env x='() { :;}; echo haavoittuva' bash -c "echo testi"
CVE-2014-7169[muokkaa]
Mikäli päiväys tulostuu, on bash haavoittuva.
$ env X='() { (linux.fi)=>\' bash -c "echo date"; cat echo ; rm -f echo
CVE-???[muokkaa]
Mikäli sana "haavoittuva" tulostuu, on bash haavoittuva.
$ env -i X=' () { }; echo haavoittuva' bash -c 'date'
CVE-2014-7186[muokkaa]
Mikäli sana "haavoittuva" tulostuu, on bash haavoittuva.
$ bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' || echo "CVE-2014-7186 haavoittuva, redir_stack"
CVE-2014-7187[muokkaa]
Mikäli sana "haavoittuva" tulostuu, on bash haavoittuva.
$ (for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash || echo "CVE-2014-7187 haavoittuva, word_lineno"
Aiheesta muualla[muokkaa]
- viestintävirasto.fi - Ohje Shellshock-haavoittuvuuden testaamiseen Ubuntu-käyttöjärjestelmillä
- viestintavirasto.fi - Haavoittuvuus Bash-komentotulkissa
- viestintavirasto.fi -Shellshock-haavoittuvuutta hyödynnetään aktiivisesti
- FSF.org - Free Software Foundation statement on the GNU Bash "shellshock" vulnerability
- shellshocker.net