1
A
回答
-1
1)該漏洞是一個執行漏洞。從不受信任的源向環境變量注入指令並不是故意允許的 - 這就是爲什麼它是一個錯誤。
2)請參閱http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html#.VCNyvfmSx8E瞭解如何利用此漏洞的一個很好的示例。
1
環境變量是一種很常見的與子進程通信的方式。你也可以問「爲什麼它允許將參數傳遞給子進程?」當然,對於環境變量來說,需要更多的預防措施,因爲一些環境變量(例如PATH)會影響某些系統調用的語義。所以通常的約定是將可以從不可信輸入設置的環境變量限制爲一組已知名稱。
例如,CGI協議(使用環境變量傳遞有關HTTP請求的信息)將自身限制爲一組環境變量名稱,這些名稱可能大致描述爲the CGI standard,以及任意環境變量,其名稱以字符HTTP_開頭。
雖然CGI有可能是用戶輸入環境變量的最大庫存,但這種技術很常見。一個成熟的例子是使用TERM來定義遠程終端的終端類型,但還有很多。
環境變量,如命令行參數,需要小心處理,有時需要屏障。例如,/bin/env實用程序提供了一種清理給予可執行文件的環境的機制;如果環境不可靠並且如果可執行文件以提升的特權運行時是必不可少的,那就很有用。
除了特定情況(如PATH),沒有應用程序應該依賴於一個環境變量是乾淨的。在沒有首先檢查其有效性的情況下根據環境變量的值做些事情與使用用戶提供的任何其他未經驗證的數據一樣是一個錯誤。 (q.v. SQL注入攻擊)。這就是我們在這裏所得到的:一個錯誤,簡單明瞭。這些事情發生。我們並不完美。 (這個錯誤已經存在了二十多年,顯然沒有任何人注意到這一事實,至少有趣。)
相關問題
- 1. 從gulp注入環境變量到webpack
- 2. 向Groovy/Spring注入環境變量
- 3. react-native需要什麼環境變量?
- 4. 我的環境變量是什麼?
- 5. 什麼是HTTP_AUTHORIZATION環境變量?
- 6. 爲什麼環境變量沒有在循環中更新?
- 7. 爲什麼允許私人入口?
- 8. 爲什麼CalendarProvider不允許寫入ExtendedProperties?
- 9. 什麼是允許引導OS X環境的Ruby工具?
- 10. 什麼語言/環境允許高精度數字?
- 11. 爲什麼我的平臺環境變量定義爲'BNB'?
- 12. 爲什麼code.runnable.com允許我在Java中更改變量的值?
- 13. 爲什麼Elixir允許使用未定義變量的閉包?
- 14. 爲什麼不允許未簽名的OpenMP索引變量?
- 15. 爲什麼在Checkstyle中默認不允許保護變量?
- 16. Linux環境變量行爲
- 17. mod_auth_mellon環境變量爲空
- 18. %爲什麼不允許
- 19. 環境變量
- 20. 環境變量
- 21. 環境變量
- 22. 環境變量
- 23. gunicorn爲什麼沒有看到corrent環境變量?
- 24. 爲什麼systemd乾淨的環境變量?
- 25. 爲什麼cmd和Console2中的環境變量不同?
- 26. Perl:爲什麼我的環境變量沒有被設置?
- 27. 爲什麼cmake忽略Boost_NO_BOOST_CMAKE環境變量?
- 28. 爲什麼SendMessageTimeout不更新環境變量?
- 29. 爲什麼Perforce不能在Linux上設置環境變量?
- 30. 爲什麼Docker的祕密比環境變量更安全?
歡迎來到Stack Overflow。請儘快閱讀[關於]頁面。這一對問題(或兩部分問題)確實有點寬泛。此外,第二個答案很容易在網上找到。你當然應該閱讀這個問題和答案[Bash中記錄的Shell Shock漏洞背後的行爲是否記錄在案或者是否有意?](http://stackoverflow.com/questions/26022248/) – 2014-09-28 00:00:11
請看:http:/ /unix.stackexchange.com/a/157495/74329 – Cyrus 2014-09-28 00:16:11
一個觀察(反問題):shell如何知道連接是否被驗證? – 2014-09-28 00:16:32