パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に」記事へのコメント

  • Linuxのだと

    $ bash --version
    GNU bash, version 4.2.48(1)-release (x86_64-pc-linux-gnu)
    Copyright (C) 2011 Free Software Foundation, Inc.
    License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
     
    This is free software; you are free to change and redistribute it.
    There is NO WARRANTY, to the extent permitted by law.
     
    $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    bash: warning: x: ignoring function definition attempt
    bash: error importing function definition

    • CentOS 6.5 x64 は対策済みのパッケージが配布されているみたいですね。

      $ cat /etc/issue
      CentOS release 6.5 (Final)
      Kernel \r on an \m

      $ rpm -qa | grep bash
      bash-4.1.2-15.el6_5.1.x86_64

      (@update http://mirror.centos.org/centos/6.5/updates/x86_64/Packages/ [centos.org] )

      $ bash --version
      GNU bash, version 4.1.2(1)-release (x86_64-redhat-linux-gnu)
      Copyright (C) 2009 Free Software Foundation, Inc.
      License GPLv3+: GNU GPL version 3 or later

      This is free software; you are free to change and redistribute it.
      There is NO WARRANTY, to the extent permitted by law.

      $ export HTTP_USER_AGENT='() { :;}; echo dangerous injection'
      $ bash -c "echo safe code"
      bash: warning: HTTP_USER_AGENT: ignoring function definition attempt
      bash: error importing function definition for `HTTP_USER_AGENT'
      safe code

      --
      # SlashDot Light [takeash.net] やってます。
      親コメント

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...