$ bash --version GNU bash, version 4.2.48(1)-release (x86_64-pc-linux-gnu) Copyright (C) 2011 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software; you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law.
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition
脆弱性入りだと具体的にどうなるの (スコア:0)
Linuxのだと
Re: (スコア:0)
これってSELinuxとかを有効にしてても緩和できなかったりするんですかね
Re:脆弱性入りだと具体的にどうなるの (スコア:0)
そのシェルを呼ぶ親プロセスが誰かによる。
httpdなどのログインシェルから呼ばれたのではないプロセスならたぶん動かない。
ただ、そもそもhttpdが任意のプロセスを起動できるというフラグを持っていればなんの役にもたたない。
それは設定で選べるのだったと思った。当然つけないのが推奨だけど、SSIとか昔からの互換のために機能としてはあるはず。
なんにでも言えることだけど、SELinixだから安心とか、そういうことで片付けないでちゃんとわかる人に調べてもらった方がいい。