パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に」記事へのコメント

  • export HTTP_USER_AGENT='() { :;}; echo dangerous injection'
    bash -c "echo safe code"

    こんな感じで書いてくれれば危険性が分かり易いのになー

    なるほど
    User Agent Switcher で HTTP_USER_AGENT いじって
    CGI で bash 呼んでるサービス閲覧するだけで撃が成立するわけだね。
    確かにこれは怖いわ

    --
    uxi
    • by Anonymous Coward on 2014年09月26日 7時13分 (#2682813)

      bashでCGI作ってる商用サイトなどない。

      親コメント
      • by Anonymous Coward

        >bashでCGI作ってる商用サイトなどない。

        どんな言語でも、シェルの力を借りるような実装をしてあれば対象になり得るようです。
        perlのsystem とか、phpのexecとか・・・。

        「システムシェルがbashの場合」ですけども。

      • by Anonymous Coward

        お前は「CGIでbashを呼ぶ」と
        「bashでCGIを作る」の違いも
        分からんのか

      • by Anonymous Coward

        シェルでCGIを作ることに特化した本がある、それも日本語で。本があるくらいだから、商用サイトでも誰かやっていないとは限らない。

        この内容をまねる人がいたらと思ったら、怖くならない?立ち読みしてぞわっと来たけど。

        http://www.amazon.co.jp/gp/product/toc/4048660683/ref=dp_toc?ie=UTF8&a... [amazon.co.jp]

身近な人の偉大さは半減する -- あるアレゲ人

処理中...