Bash specially-crafted environment variables code injection attack

This article was originally published on the Red Hat Customer Portal. The information may no longer be current. Update 2014-09-30 19:30 UTC Questions have arisen around whether Red Hat products are vulnerable to CVE-2014-6277 and CVE-2014-6278. We have determined that RHSA-2014:1306, RHSA-2014:1311, and RHSA-2014:1312 successfully mitigate the vulnerability and no additional actions need to be ta

[KoshianX]

1980年からって。CGIでユーザー入力を環境変数に入れてsystem()実行するようなプログラムがあると危険ということかな

[ngyuki]

Bash の脆弱性、環境変数に細工をすることで任意のコードが実行できるらしい。cgi で system とかしている場合も危険っぽい、mod_php は cgi ではない（外部からくる値が環境変数ではない）ので大丈夫

[namikawamisaki]

　#ShellShock というハッシュタグがついていた。

[Cald]

今更Bashにこういう脆弱性がでるのか

[ready-made]

今回のbash脆弱性問題について

[tokkata]

RHEL6 の場合、bash-4.1.2-15.el6_5.2.(プラットフォーム名).rpm が一連の Bash 脆弱性対策の最終版になるようです。

[daybeforeyesterday]

うーむ

[saitoudaitoku]

これか！

[yujin_kyoto]

なるほどね。

[richard_raw]

bashの環境変数に色々仕込むことができる脆弱性……。

[noradaiko]

Bash specially-crafted environment variables code injection attack | Red Hat Security

[mumincacao]

ふぇ・・・ CGI，system() 系の呼び出しもあうととか影響範囲がぱないのです・・・ imagemagick とか直接呼んでるの見た記憶もあるし．．．〆（´ロ`；【みかん

[f99aq]

環境変数をごにょって子プロセスをbash経由で起こすと任意のコードが実行できてしまう…。

[hiromark]

うわぁ

[sonots]

redhat さん捌けなくなってる？

[be-open]

503エラーで見れませんけど・・・。

[dekasasaki]

最悪だ・・・。

[t-wada]

最近発見された Bash の脆弱性、だいぶヤバイのでは……

[K2ICE]

Bashの環境変数に脆弱性、致命的すぎる

[kuniharumaki]

今朝自宅サーバのbash更新されてたと思ったらこれか。やばす。

[FumblePerson]

コレやばいやつや…

[kwmr]

うーむ。

[kjw_junichi]

こういうの毎度英語の勉強にと取っておくが、なかなか消化できないｗ

[stealthinu]

bashに環境変数設定で実行まで出来てしまう大穴が…　すごい大昔からの穴。しかもいろんな環境でこれいろんな攻撃が可能になりそう。昔からあるperlのcgiとかmod_cgiで動いてるのとかに対して攻撃が可能か？

[satojkovic]

なんと…

[at_yasu]

環境変数に仕組む事で任意のコードを実行させることがでける

[bobbyjam99]

(ヽ´ω`)

[tmtms]

なにこれやばい

[masami256]

Arch Linuxはbash-4.3.024-2でfix　#archlinux

[kouyan_h]

bashの環境変数からリモートで任意のコードが実行されてしまう脆弱性が発見された模様。これ広く影響ありそうで影響度は重大だね。サーバーを管理してる人は速やかにアップデートしたほうが良さそう。

[Magicant]

規格にない拡張機能を組み込んで脃弱性にしてしまふ駄目っ子 Bash さん