Shellshock - 使用 bash 4.1 版不容易受到攻擊？

我們有幾個亞馬遜伺服器。它有 bash 版本 4.1.2。Kaspersky 聲稱4.3 之前的所有 bash 版本都是不安全的。當我做這個測試時…

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

…它返回：hello，即使Lifehacker 說我應該得到一個錯誤返回：bash: warning: x: ignoring function definition attempt bash.....，我想簡單的“你好”就足夠了。我仍然有疑問。

你能解釋一下我可以信任哪些資訊嗎？

程序的版本號並不能很好地表明它存在的安全問題。當發現一個安全漏洞時，標準做法是只修補這個漏洞，而不是將程序升級到更高版本，在一些微妙的情況下可能會變得不兼容。

因此，看到您擁有 bash 4.1 並沒有提供任何關於它是否易受 Shellshock 攻擊的資訊。使用您已經找到的測試。由於x='() { :;}; echo vulnerable' bash -c 'echo hello'不列印vulnerable，因此您不會受到 Shellshock 錯誤的影響。您沒有看到錯誤消息的事實也表明您的 bash 副本還具有修復在 Shellshock 之後發現的相關錯誤的更新檔。提及這些錯誤消息的文章已過時：使用最新修復，此命令僅列印hello.

引用自：https://unix.stackexchange.com/questions/160222