アカウント名:
パスワード:
でも標準SHELLをbashにしてる環境が多すぎたり、入力データをまんまSHELLに投げてるプログラムとかテスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…
テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…
今回のバグは、bashが環境変数中に仕込まれたコードを実行してしまう、というものです。そして、リクエスト中のヘッダフィールドを環境変数として渡すことは、CGIの仕様によって要求されています(RFC 3875 [ietf.org])。したがって今回の脆弱性は、Webサーバが仕様通りに動作することがテストされていたとしても、回避することはできません。
攻撃っぽいフィールドを弾いてほしいところかも知れませんが、それは汎用のWebサーバではなくWAFの役割だと思います。
bash を #!/bin/sh として起動しても今回の問題が避けられないところまでは確認しましたが、この環境変数で関数を…って仕様は素の sh にはあるのでしょうか? (問題があるかどうか以前の問題として)
# 素の sh って定義がアレだとは思いますが…
素のshと言うよりも, 現代のopen source環境ならash(多くの*BSD)/dash(DebianおよびUbuntu)と言っていいんじゃないかな.
OpenBSDやAIX, HP-UXなんかはksh系だけど, こちらはkshと明示することが多いだろうし.
問題はその他の多くのLinuxディストリが/bin/shと言いながら, 実はbashを使っていることだと思う.
Mac OS Xのディフォルトシェルがbashだってことは、あまり広まってない気がしますね。まぁ、現状Mac OS Xでは、影響少なさげなようですが。http://complexitydaemon.wordpress.com/2014/09/26/bash-os-x-dhcp-and-you/ [wordpress.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
bashのBugではあるんだけど… (スコア:0)
でも標準SHELLをbashにしてる環境が多すぎたり、入力データをまんまSHELLに投げてるプログラムとか
テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…
Re: (スコア:2)
今回のバグは、bashが環境変数中に仕込まれたコードを実行してしまう、というものです。そして、リクエスト中のヘッダフィールドを環境変数として渡すことは、CGIの仕様によって要求されています(RFC 3875 [ietf.org])。したがって今回の脆弱性は、Webサーバが仕様通りに動作することがテストされていたとしても、回避することはできません。
攻撃っぽいフィールドを弾いてほしいところかも知れませんが、それは汎用のWebサーバではなくWAFの役割だと思います。
Re: (スコア:0)
bash を #!/bin/sh として起動しても今回の問題が避けられないところまでは確認しましたが、
この環境変数で関数を…って仕様は素の sh にはあるのでしょうか?
(問題があるかどうか以前の問題として)
# 素の sh って定義がアレだとは思いますが…
Re: (スコア:1)
素のshと言うよりも, 現代のopen source環境ならash(多くの*BSD)/dash(DebianおよびUbuntu)と言っていいんじゃないかな.
OpenBSDやAIX, HP-UXなんかはksh系だけど, こちらはkshと明示することが多いだろうし.
問題はその他の多くのLinuxディストリが/bin/shと言いながら, 実はbashを使っていることだと思う.
Re:bashのBugではあるんだけど… (スコア:1)
Mac OS Xのディフォルトシェルがbashだってことは、あまり広まってない気がしますね。
まぁ、現状Mac OS Xでは、影響少なさげなようですが。
http://complexitydaemon.wordpress.com/2014/09/26/bash-os-x-dhcp-and-you/ [wordpress.com]