Почему я не могу воспроизвести ошибку ShellShock Bash на Bash 4.2.0?

Я узнаю об уязвимости ShellShock и хочу протестировать старые версии Bash.
Я скачал Bash 4.2 с сайта веб-сайт GNU. После извлечения содержимого я скомпилировал его на основе руководства GNU вот так:

bash ./configure
make

После его завершения я запускаю следующий эксплойт, чтобы проверить, уязвим ли bash:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Но он не напечатал уязвимый, что означает, что он неуязвим, и я не понимаю, почему:

root@ubuntu:~/Desktop/bash-4.2# ./bash
root@ubuntu:~/Desktop/bash-4.2# echo $BASH_VERSION
4.2.0(1)-release
root@ubuntu:~/Desktop/bash-4.2# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
root@ubuntu:~/Desktop/bash-4.2#

bash shell unix shellshock-bash-bug
person E235    schedule 02.12.2020    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Используйте ./bash вместо bash; ваша текущая попытка заканчивается выполнением экземпляра системы Bash по умолчанию, который, надеюсь, действительно не должен быть уязвимым.

Как правило, текущая директория не включается в PATH и не должна включаться именно по таким причинам.

person tripleee    schedule 02.12.2020