ShellshockのバグはZSHに影響しますか？

バイナリは影響を受けません

ソースコードにエラーが含まれていないため、シェル実行可能ファイルとしてのzshには影響しません。
bashとzshの間には多くの類似点がありますが、それらは互いに独立して実装されていました。同じ機能は2つの異なる方法で実装され、このコンテキストではより重要ですが、通常は異なるエラーが発生します。

しかし、インタラクティブな使用は

間接的には、zshを操作するのとほぼ同じくらい、ターミナルでbashシェルをインタラクティブに操作するのに影響します。

bashの使用は非常に一般的であるため、これを呼び出すことは避けられません。

避けるにはあまりにも多くの用途

• あなたが知っていて、zshを使用することを期待しているが、実際にはbashを含むスクリプト。
• #!/bin/bashを使用してbashをインタープリターとして指定する多くのシェルスクリプト。

• 想定しているコマンドの多くはバイナリですが、シェルスクリプトであり、その一部はbashを使用しています。

• シェルが明示的に実行される多くの場所では、bashが使用され、必要な場合もあります。

  • 複雑なxargsコマンド、または引数を含むgitエイリアスなど
  • 端末エミュレータのデフォルトのシェル
  • Sudoを実行するユーザーのシェル
  • 等.

から このリンク ：

次のテストを実行することで、CVE-2014-6271の元の問題に対して脆弱かどうかを判断できます。

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

そのコマンドの出力でWordが脆弱であることがわかった場合、bashは脆弱であり、更新する必要があります。以下は、OS X 10.8.5の脆弱なバージョンです。

env x='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
hello

次の出力は、脆弱性のないbashバージョンの例です。

$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello

いいえ、Shellshockはzshに直接影響しません。

ただし、デフォルトのシェルとしてzshを使用する多くの環境には、bashもインストールされています。 zshを含む任意のシェルを使用して、侵害されたbashシェルを生成できます。

zsh ❯ env X='() { (a)=>\' sh -c "echo date"; cat echo
sh: X: line 1: syntax error near unexpected token `='
sh: X: line 1: `'
sh: error importing function definition for `X'
Fri 26 Sep 2014 12:05:57 BST

これを防ぐには、パッチ、アンインストール、またはbashの冗長バージョンを無効にする必要があります。 chmodを使用して、システムのbashインストールを無効にすることができます。

$ chmod a-x /bin/bash

ただし、スクリプトが明示的にbashを呼び出すことは一般的です。これを行うスクリプト、およびbash固有のスクリプト機能を使用するスクリプトは、bashが使用できない場合は失敗します。パッチの適用が最善のソリューションです。