[linux] Re: bash-bug

[Der]

On 27-09-14 11:28, jjge wrote:
>
> On 09/26/2014 08:41 PM, Daniel C. von Asmuth wrote:
>> Aldus schreef jjge op Fri, Sep 26, 2014 at 06:28:16PM +0200:
>>> On 09/26/2014 05:04 PM, Bart-Jan Vrielink wrote:
>>>> Hans,
>>>>
>>>> Als je scripts niet in een andere shell werken, dan moet je expliciet aangeven dat ze #!/bin/bash nodig hebben, niet #!/bin/sh.
>>>>
>>>> Een belangrijke reden om niet bash als default shell te willen hebben (afgezien van deze bug) is dat bash behoorlijk veel resources vraagt. dash is veel sneller.
>>>>
>>>> Verder wijkt Linux met bash nogal af van de standaard Unix shell, en is het (als je ook op andere Unix smaken verblijft) handiger om een shell die zo POSIX compatible als mogelijk is. Bash is dat duidelijk niet.
>> GNU betekent niet voor niets: GNU is Not Unix.
>>
>>>> Mijn voorkeur is bash voor interactief werk, standaard shell voor scripts (tenzij je bewust Bash features nodig hebt). In alle gevallen specificeren wat je nodig hebt.
>>> Maarre.. welke shell is standaard? Ik werk zelf met Slackware, en daar
>>> staat /bin/sh gewoon door naar bash. En volgens mij is Slackware een
>>> heel conservatieve distro...
>> Dat is algemeen zo op Linux. Op Solaris is /bin/sh de Bourne shell en de
>> Korn Shell /bin/ksh is de standaard login shell. Allicht zijn er gebruikers
>> die de voorkeur geven aan bash, tcsh of zsh.
>
> Ja, maar, er werd hier verwezen naar "de standaardshell". En dus is mijn
> vraag: wie is dat?
>
met standaardshell wordt bedoeld (door Bart-Jan) de standaard 
systemshell in debian, dat is dash. De meeste linux-distros hebben bash 
als standaard systemshell.
Daarnaast heb je ook de loginshell of interactieve shell. Standaard of 
default van debian is dat bash.

Een exploit van de bash-bug via bijvoorbeeld apache met cgi maakt 
gebruikt van kwetsbaarheid van bash als systemshell. Een explotit via 
bijvoorbeeld ssh maakt gebruikt van de kwetsbaarheid in bash als login 
shell.

groet,
Der