アカウント名:
パスワード:
CVE-2014-6271 [redhat.com]のComment 23, 24辺り。
そこのComment27によるとworkaroundはこちら [redhat.com]LD_PRELOADでパッチを読ませるんですって。環境変数で出てるバグのパッチを読ませるのに環境変数を使うのってなんだかこそばゆい。
新しい方にはCVE-2014-7169 [nist.gov]が採番されてますね。
元ネタでは $ x='() { (a)=>\' sh -c 'echo date';cat echo ですけど、Ubuntuだと /bin/sh は dash なので再現できませんでした。
$ x='() { (a)=>\' sh -c 'echo date';cat echodatecat: echo: そのようなファイルやディレクトリはありません
これを、こう
$ x='() { (a)=>\' bash -c 'echo date';cat echobash: x: 行 1: 予期しないトークン `=' 周辺に構文エラーがありますbash: x: 行 1: `'bash: `x' の関数定義をインポート中にエラーが発生しました2014年 9月 25日 木曜日 16:22:24 JST
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
まだ万全じゃないよという突っ込み (スコア:2, 興味深い)
CVE-2014-6271 [redhat.com]のComment 23, 24辺り。
Re:まだ万全じゃないよという突っ込み (スコア:2, 参考になる)
そこのComment27によるとworkaroundはこちら [redhat.com]
LD_PRELOADでパッチを読ませるんですって。
環境変数で出てるバグのパッチを読ませるのに環境変数を使うのってなんだかこそばゆい。
Re:まだ万全じゃないよという突っ込み (スコア:1)
新しい方にはCVE-2014-7169 [nist.gov]が採番されてますね。
元ネタでは $ x='() { (a)=>\' sh -c 'echo date';cat echo ですけど、Ubuntuだと /bin/sh は dash なので再現できませんでした。
$ x='() { (a)=>\' sh -c 'echo date';cat echo
date
cat: echo: そのようなファイルやディレクトリはありません
これを、こう
$ x='() { (a)=>\' bash -c 'echo date';cat echo
bash: x: 行 1: 予期しないトークン `=' 周辺に構文エラーがあります
bash: x: 行 1: `'
bash: `x' の関数定義をインポート中にエラーが発生しました
2014年 9月 25日 木曜日 16:22:24 JST