2014-09-25 セキュリティ
今日は休んでブラブラしようと思っていたんだけど、急に仕事が割り込んだから仕方なく出社したら例の bash 祭りの最中だった。
BASHの脆弱性でCGIスクリプトにアレさせてみました - ブログ - ワルブリックス株式会社
マッハで bash update したけどまだ完全に直ってない様子↓
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
The bash patch seems incomplete to me, function parsing is still brittle. e.g. $ env X='() { (a)=>\' sh -c "echo date"; cat echo
— Tavis Ormandy (@taviso) 2014, 9月 24んで、お仕事ソースを調べたけど、PHP は mod_php で system 系関数呼び出し箇所はなし、mod_cgi + perl も system 系関数は使っていない。
とりあえず http 経由でどうこうされることはない…か?