パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に」記事へのコメント

  • export HTTP_USER_AGENT='() { :;}; echo dangerous injection'
    bash -c "echo safe code"

    こんな感じで書いてくれれば危険性が分かり易いのになー

    なるほど
    User Agent Switcher で HTTP_USER_AGENT いじって
    CGI で bash 呼んでるサービス閲覧するだけで撃が成立するわけだね。
    確かにこれは怖いわ

    --
    uxi
    • by Anonymous Coward

      bashでCGI作ってる商用サイトなどない。

      • by Anonymous Coward on 2014年09月26日 9時21分 (#2682875)

        >bashでCGI作ってる商用サイトなどない。

        どんな言語でも、シェルの力を借りるような実装をしてあれば対象になり得るようです。
        perlのsystem とか、phpのexecとか・・・。

        「システムシェルがbashの場合」ですけども。

        親コメント

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...