前几天 bash 的执行漏洞闹得沸沸扬扬,说实话我没怎么关心。因为我的机器基本都是只有自己一个用户,也没有什么网络应用用到 bash
但是今天闲逛的时候看到有人说:
> 破壳漏洞(ShellShock)的严重性被定义为 10 级(最高),今年 4 月爆发的 OpenSSL「心脏出血」漏洞才 5 级!
这让我很是好奇,这个严重性的定义究竟是什么出于什么考虑?
按照我的理解,这个 bash 漏洞被利用的前提是用 bash 处理用户输入,难道有很多应用程序使用 bash 来处理用户输入吗?我感觉基本只有 shellscript 或者 system() 这种函数才会用到,而这些情况远不如 https 常见。
是我理解有误吗?恳请对此比较了解的 V 友为我解惑。
但是今天闲逛的时候看到有人说:
> 破壳漏洞(ShellShock)的严重性被定义为 10 级(最高),今年 4 月爆发的 OpenSSL「心脏出血」漏洞才 5 级!
这让我很是好奇,这个严重性的定义究竟是什么出于什么考虑?
按照我的理解,这个 bash 漏洞被利用的前提是用 bash 处理用户输入,难道有很多应用程序使用 bash 来处理用户输入吗?我感觉基本只有 shellscript 或者 system() 这种函数才会用到,而这些情况远不如 https 常见。
是我理解有误吗?恳请对此比较了解的 V 友为我解惑。