アカウント名:
パスワード:
でも標準SHELLをbashにしてる環境が多すぎたり、入力データをまんまSHELLに投げてるプログラムとかテスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…
テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…
今回のバグは、bashが環境変数中に仕込まれたコードを実行してしまう、というものです。そして、リクエスト中のヘッダフィールドを環境変数として渡すことは、CGIの仕様によって要求されています(RFC 3875 [ietf.org])。したがって今回の脆弱性は、Webサーバが仕様通りに動作することがテストされていたとしても、回避することはできません。
攻撃っぽいフィールドを弾いてほしいところかも知れませんが、それは汎用のWebサーバではなくWAFの役割だと思います。
読みましたが、これはアプリ間データ渡しに環境変数使う設計が問題。カプセル化考えたらこんなことしないよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
bashのBugではあるんだけど… (スコア:0)
でも標準SHELLをbashにしてる環境が多すぎたり、入力データをまんまSHELLに投げてるプログラムとか
テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…
Re: (スコア:2)
今回のバグは、bashが環境変数中に仕込まれたコードを実行してしまう、というものです。そして、リクエスト中のヘッダフィールドを環境変数として渡すことは、CGIの仕様によって要求されています(RFC 3875 [ietf.org])。したがって今回の脆弱性は、Webサーバが仕様通りに動作することがテストされていたとしても、回避することはできません。
攻撃っぽいフィールドを弾いてほしいところかも知れませんが、それは汎用のWebサーバではなくWAFの役割だと思います。
Re:bashのBugではあるんだけど… (スコア:0)
読みましたが、これはアプリ間データ渡しに環境変数使う設計が問題。
カプセル化考えたらこんなことしないよ。