パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に」記事へのコメント

  • by Anonymous Coward on 2014年09月26日 0時07分 (#2682726)

    アンドロイドやクロームにもシェルは必要なんでしょうか?
    デスクトップや組み込み、CPUボード搭載のリナックスにはシェルは不要

    Systemdにシェルコードが入っていたり、CoreOSのサービス起動にもシェルを使っていたりする
    シェル使わずに別の言語で書けば速度も上がっていいのにと某掲示板で書いたらキレラレマシタ

    • busyboxのほとんどはashじゃないのかな。Debian系とBSDも起動プロセスはdashやash使ってる。EFI Shellのサンプルコードにもbash入っていたので根は深いと思うけど。
      親コメント
    • by Anonymous Coward

      なくても作れるってのは同意だけど
      あればあったで柔軟性が高まったり便利な使い方もあるのだから、要はバランスでしょ
      使い道があるのに100%不要みたいな言い方したんじゃないの?

      • by Anonymous Coward

        環境弄る人間以外にはシェルは不要、リスクでしかないですよね
        今回の脆弱性だと任意のコード実行ですけど、CUI用のコマンド全部なければ実質無害かなとか
        サービス起動停止されてシステム障害とかですが、デスクトップ用途でそれだとそれほど問題あるとは思いませんので
        再起動すればいいだけの話かと

        柔軟性を持たせるのは開発者であって、シェルを必要とするのは開発者の努力不足ですよね、多分
        サーバ用や開発用途なら必要ですが、完成品で弄る事が無いなら不要です

        • 開発者が無限に資源を突っ込んで、機能を変更しない装置については単一の静的リンクバイナリにでもして柔軟性を
          一切排除しろというのは理論上可能だけど、それをやった製品はコストがかかりすぎ競争力がないので商業的に失敗する。

          理論上安全だけど性能も出なけりゃ使い勝手もクソなので俺も絶対に買いたくない。誰もやらない。
          busybox抜きとか、本質的ではないけどbusyboxの一部アプレット抜きくらいは行われている。

          親コメント
    • by Anonymous Coward

      別言後で起動スクリプト書くという試みはあった気がする。

      Androidは元々はLinuxであって「モバイル向けにLinux流用しました」が、
      原点なので組み込みOSではないのでどうしてもシェル環境は残る。
      デスクトップ用途だとシェル環境は便利だが、モバイルは必須でない。
      AndroidがLinuxを使っているかぎり避けられない脆弱性。

    • by Anonymous Coward

      組み込みかどうか忘れたが、シェルスクリプトを使わずコンパイルされた実行形式ファイルで起動時処理、というシステムをどこかで聞いた気がする。
      開発上の融通性は損なわれるが、起動が爆速、が売りだったっけ。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...