Ciao,
niente da dire in realta'.
Non mi baserei su un test per un parser specifico (bash) , quando
abbiamo n dialetti (ash csh etc).
Magari - lo spero - mi sbaglio, e' solo che se testiamo tutto con lo
stesso payload rischiamo di non essere precisi. :)
Cheers
Stefano.
On Thu, 2014-09-25 at 15:29 +0200, Igor Falcomata' wrote:
> On Thu, Sep 25, 2014 at 02:48:06PM +0200, Marco d'Itri wrote:
>
> > > Perche' al volissimo ho provato su busybox 1.21.1 di alpine linux e
> > > direi che e' vulnerabile.
> > Sei veramente sicuro? La 1.22 di Debian non lo รจ:
> >
> > env - x='() { :;}; echo vulnerable' /bin/busybox sh -c /bin/true
>
> Ecco, troppo al volissimo, mea culpa, link non standard a bash (invece
> che a busybox) /bin/sh nella vm di test che usavo per altro :(
>
> riassumento, busybox 1.21.1 *non* e' vulnerabile.
>
> sorry,
> K.
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
--
...oOOo...oOOo....
Stefano Di Paola
Software & Security Engineer
Owasp Italy R&D Director
Web: www.wisec.it
Twitter: http://twitter.com/WisecWisec
..................
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
