パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に」記事へのコメント

  • Linuxのだと

    $ bash --version
    GNU bash, version 4.2.48(1)-release (x86_64-pc-linux-gnu)
    Copyright (C) 2011 Free Software Foundation, Inc.
    License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
     
    This is free software; you are free to change and redistribute it.
    There is NO WARRANTY, to the extent permitted by law.
     
    $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    bash: warning: x: ignoring function definition attempt
    bash: error importing function definition

    • by Anonymous Coward

      これってSELinuxとかを有効にしてても緩和できなかったりするんですかね

      • by Anonymous Coward on 2014年09月26日 6時31分 (#2682801)

        そのシェルを呼ぶ親プロセスが誰かによる。
        httpdなどのログインシェルから呼ばれたのではないプロセスならたぶん動かない。
        ただ、そもそもhttpdが任意のプロセスを起動できるというフラグを持っていればなんの役にもたたない。
        それは設定で選べるのだったと思った。当然つけないのが推奨だけど、SSIとか昔からの互換のために機能としてはあるはず。
        なんにでも言えることだけど、SELinixだから安心とか、そういうことで片付けないでちゃんとわかる人に調べてもらった方がいい。

        親コメント

日々是ハック也 -- あるハードコアバイナリアン

処理中...