パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に」記事へのコメント

  • 例が分かり難い (スコア:5, 参考になる)

    by uxi (5376) on 2014年09月26日 2時25分 (#2682778)

    export HTTP_USER_AGENT='() { :;}; echo dangerous injection'
    bash -c "echo safe code"

    こんな感じで書いてくれれば危険性が分かり易いのになー

    なるほど
    User Agent Switcher で HTTP_USER_AGENT いじって
    CGI で bash 呼んでるサービス閲覧するだけで撃が成立するわけだね。
    確かにこれは怖いわ

    --
    uxi
    • by Anonymous Coward

      bashでCGI作ってる商用サイトなどない。

      • by Anonymous Coward

        >bashでCGI作ってる商用サイトなどない。

        どんな言語でも、シェルの力を借りるような実装をしてあれば対象になり得るようです。
        perlのsystem とか、phpのexecとか・・・。

        「システムシェルがbashの場合」ですけども。

      • by Anonymous Coward

        お前は「CGIでbashを呼ぶ」と
        「bashでCGIを作る」の違いも
        分からんのか

      • by Anonymous Coward

        シェルでCGIを作ることに特化した本がある、それも日本語で。本があるくらいだから、商用サイトでも誰かやっていないとは限らない。

        この内容をまねる人がいたらと思ったら、怖くならない?立ち読みしてぞわっと来たけど。

        http://www.amazon.co.jp/gp/product/toc/4048660683/ref=dp_toc?ie=UTF8&a... [amazon.co.jp]

    • by Anonymous Coward

      テストでエージェントを切り替えたのを忘れてそのまま放浪しそうで怖い
      # rm -rf * 入れておくと次々に…

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...