私たちは複数のAmazonサーバーを持っています。 bashバージョン4.1.2があります。カスペルスキーの主張4.3以前のすべてのbashバージョンは安全ではありません。今回のテストをしてみると..
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
...それは次を返します:helloしかしライフハッカーが言う次のエラーが発生するはずです。bash: warning: x: ignoring function definition attempt bash.....単純な「hello」の一言で十分だと思います。まだ質問があります。
どの情報を信頼できるかを説明してください。
答え1
プログラムのバージョン番号は、セキュリティの問題を示す良い指標ではありません。セキュリティの脆弱性が見つかると、微妙な状況で非互換性が発生する可能性があるため、プログラムをより高いバージョンにアップグレードするのではなく、単に脆弱性にパッチを適用するのが標準的な方法です。
したがって、bash 4.1があることを確認しても、そのバージョンがShellshockに脆弱であるかどうかに関する情報は提供されません。見つかったテストを使用します。x='() { :;}; echo vulnerable' bash -c 'echo hello'印刷されないため、vulnerableShellshockエラーが発生する可能性が低くなります。エラーメッセージが表示されないという事実は、bashコピーにも修正が必要なパッチがあることを示します。Shellshockの後に見つかった関連エラー。これらのエラーメッセージに言及する文書は古くなっています。最新の修正では、このコマンドはhello。