2014年10月1日のブックマーク (1件)

  • [Linux][セキュリティ] shellshockはPerl/CGIでsystem()にダメージありや無しや - ろば電子が詰まつてゐる

    bashの脆弱性"shellshock"が非常に話題になっておりますが、これがいろいろと事情が入り組んでおり全容がつかみづらい。 ということでここでは全容を理解するのを早々に放棄して、以下のレガシー環境に絞った狭い話をします。レガシーとは言っても、それなりに鉄板の構成なので対象者は多いのでは無いでしょうか。私は老害なので、Perlしか分からないのです。PHPは嫌い。 CentOS(Red Hat) 6 or 7 PerlCGIの内部で、system()を使っている。 (CGIとして動作させており、mod_perlやPSGI/Plackは使っていない) なお、shellshock自体の解説はここでは行いません。 基礎知識:CentOSの/bin/sh はじめに、/bin/shとbashの関係について予備知識を知っておく必要があります。 現在のCentOSおよびRed Hat Linuxにお

    [Linux][セキュリティ] shellshockはPerl/CGIでsystem()にダメージありや無しや - ろば電子が詰まつてゐる
    dekokun
    dekokun 2014/10/01
    Perlのsystem関数は、引数にシェルのメタ文字が存在するかどうかでシェルを介して実行するか直接実行するかを決める。つまりそれによってShellShock脆弱性の影響を受けるかどうかが決まるという話。