Shellshockの脆弱性のニュースが出た後、GitHubのバージョンのWindows用bash Shellがインストールされていたのを思い出しました。それにも脆弱性があるかどうかを確認するために、私は実行しました:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
そして戻ってきました:
vulnerable
this is a test
それでも、Windowsシステムであるため、リポジトリの混乱以外に、GitHub bash Shellから悪意のある操作を行うことはできますか?
(GitHub v2.0.6.0 130c781)(GitHub v2.4.0.12 34d40b7)
編集:
env x='() { :;};' bash -c "vi foldername/filename"
これを確認すると、Windowsシステムファイルを編集できます。
私はGitHub for Windowsの開発者です。私たちはmsysgitメーリングリストで進捗状況を注意深く監視していますが、現時点ではGitHubのシェルでこれを悪用する方法はないと考えています。特権(つまり、自分だけをハッキングできる)。
私たちは間違いなくそうでないシナリオを積極的に探しています。もしそれが見つかったら、できるだけ早くアップデートをリリースします。
pdate:最近のCVEで言及されている既知のBashの脆弱性を解決するリリースを公開しました。私たちは将来の問題にも注意を払います。