为什么我的bash 4.1.2包不容易受到shellshock的攻击？我的测试错了吗？

Question

我的Bash shell版本是GNU bash，version4.1.2(2)-release (x86_64-redhat-linux-gnu)。

我使用下面的命令测试了shellshock bug

x='() { :;}; echo VULNERABLE' bash -c :.

它没有打印回易受攻击的消息。

我读到这个bug一直存在到bash 4.3版( https://www.youtube.com/watch?v=u1H12rMdLTg )

可能的原因是什么。

Answer 1

在发现shellshock之后的几天内，针对主要发行版发布了带有补丁的更新包，这些补丁被反向移植到本地支持的bash版本。(实际上，它们的发布相当仓促，临时修复通常使用与最终发布不同的导出函数的环境变量格式，这意味着在一个版本的shell中导出的函数通常不会被另一个运行为子进程的函数识别)。

仅仅因为上游没有合并最终的补丁并不意味着您的操作系统或发行版没有推后端口--事实上，他们不这样做是非常不负责任的。