Shellshockを搭載したWindowsでGitBashを使用することを心配する必要がありますか？

自分でテストするのは簡単です。

CVE-2014-6271

CVE-2014-6271は、元のShellshockのバグです。脆弱かどうかを確認するには、bashコマンドプロンプトで次のコードを実行します。

env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

出力が次の場合：

Bash Test

その後、あなたは大丈夫です。一方、次の場合は次のようになります。

Bash is vulnerable!
Bash Test

次に、bashは脆弱です。

CVE-2014-7169

新しい関連の脆弱性 があります。これをテストするには、次のコードを実行します。

env X='() { (a)=>\' sh -c "echo date"; cat echo

次の出力が表示された場合：

date
cat: echo: No such file or directory

その後、あなたは大丈夫です。

現在のバージョンである4.3までのすべてのバージョンのbashは、Shellshockに対して脆弱でした。パッチは更新され続けるので、バージョンを更新することはおそらく良い考えです。

誰が脆弱ですか？

Qualysによると 、remoteShellshockの悪用は、次の状況で可能になる可能性があります。

• Mod_cgiまたはmod_cgidを使用するApacheサーバーは、CGIスクリプトがbashで記述されているか、サブシェルを生成する場合に影響を受けます。このようなサブシェルは、Cのsystem/popen、Pythonのos.system/os.popen、PHP（CGIモードで実行する場合））のsystem/exec、およびのopen/systemによって暗黙的に使用されます。シェルが使用されている場合はPerl（コマンド文字列によって異なります）
• ForceCommandはsshd構成で使用され、リモートユーザーに限定されたコマンド実行機能を提供します。この欠陥は、それを回避し、任意のコマンド実行を提供するために使用できます。一部のGitおよびSubversionデプロイメントは、このような制限付きシェルを使用します。ユーザーはすでにシェルアクセス権を持っているため、OpenSSHの通常の使用は影響を受けません。
• DHCPクライアントは、潜在的に悪意のあるサーバーから取得した値を使用して、シェルスクリプトを呼び出してシステムを構成します。これにより、DHCPクライアントマシンで任意のコマンドを（通常はrootとして）実行できます。
• さまざまなデーモンおよびSUID /特権プログラムが、ユーザーによって設定/影響を受ける環境変数値を使用してシェルスクリプトを実行する場合があります。これにより、任意のコマンドを実行できます。
• シェルにフックされている、またはbashをインタープリターとして使用するようにシェルスクリプトを実行するその他のアプリケーション。変数をエクスポートしないシェルスクリプトは、信頼できないコンテンツを処理して（エクスポートされていない）シェル変数に格納し、サブシェルを開いたとしても、この問題に対して脆弱ではありません。

ただし、Windowsで脆弱であるためには、bashを呼び出す上記のサービスのいずれかのバージョンを使用する必要があります。