web-dev-qa-db-ja.com

GitHubのWindows用Bashシェルは、Shellshockに対して脆弱です。それでも害はありますか?

Shellshockの脆弱性のニュースが出た後、GitHubのバージョンのWindows用bash Shellがインストールされていたのを思い出しました。それにも脆弱性があるかどうかを確認するために、私は実行しました:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

そして戻ってきました:

vulnerable
this is a test

それでも、Windowsシステムであるため、リポジトリの混乱以外に、GitHub bash Shellから悪意のある操作を行うことはできますか?

(GitHub v2.0.6.0 130c781)(GitHub v2.4.0.12 34d40b7)

編集:

env x='() { :;};' bash -c "vi foldername/filename"

これを確認すると、Windowsシステムファイルを編集できます。

21
cptncrnch

私はGitHub for Windowsの開発者です。私たちはmsysgitメーリングリストで進捗状況を注意深く監視していますが、現時点ではGitHubのシェルでこれを悪用する方法はないと考えています。特権(つまり、自分だけをハッキングできる)。

私たちは間違いなくそうでないシナリオを積極的に探しています。もしそれが見つかったら、できるだけ早くアップデートをリリースします。

pdate:最近のCVEで言及されている既知のBashの脆弱性を解決するリリースを公開しました。私たちは将来の問題にも注意を払います。

24
Ana Betts