パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

bashのShellshock脆弱性を利用するボットネットが出現」記事へのコメント

  • でも標準SHELLをbashにしてる環境が多すぎたり、入力データをまんまSHELLに投げてるプログラムとか
    テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…

    • テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…

      今回のバグは、bashが環境変数中に仕込まれたコードを実行してしまう、というものです。そして、リクエスト中のヘッダフィールドを環境変数として渡すことは、CGIの仕様によって要求されています(RFC 3875 [ietf.org])。したがって今回の脆弱性は、Webサーバが仕様通りに動作することがテストされていたとしても、回避することはできません。

      攻撃っぽいフィールドを弾いてほしいところかも知れませんが、それは汎用のWebサーバではなくWAFの役割だと思います。

      • by Anonymous Coward

        bash を #!/bin/sh として起動しても今回の問題が避けられないところまでは確認しましたが、
        この環境変数で関数を…って仕様は素の sh にはあるのでしょうか?
         (問題があるかどうか以前の問題として)

        # 素の sh って定義がアレだとは思いますが…

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...