bashの脆弱性(CVE-2014-6271など)によって、PerlやRubyのCGIからsystem関数などOSコマンドを実行するプログラム言語の機能を使うと、 UserAgent などブラウザから送信されたデータが環境変数に格納された状態でbashが起動し、ShellShockが発生するという話が話題になっているが、本当にそうなのか。 実験 次の処理系で実験した。 Perl(5.20.0) Ruby(2.1.3) PHP(5.6.0) Python3(3.4.1) コード OSコマンドのenvを呼び出して表示するだけのCGI。 Perl #!/usr/bin/env perl print "Content-Type: text/html;\n\n"; print system('env');
![ShellShockがCGIに及ぼす影響を少し過大評価していたかも - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/15185f20b324a839d9252f4fd0051283fe91401c/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9U2hlbGxTaG9jayVFMyU4MSU4Q0NHSSVFMyU4MSVBQiVFNSU4RiU4QSVFMyU4MSVCQyVFMyU4MSU5OSVFNSVCRCVCMSVFOSU5RiVCRiVFMyU4MiU5MiVFNSVCMCU5MSVFMyU4MSU5NyVFOSU4MSU4RSVFNSVBNCVBNyVFOCVBOSU5NSVFNCVCRSVBMSVFMyU4MSU5NyVFMyU4MSVBNiVFMyU4MSU4NCVFMyU4MSU5RiVFMyU4MSU4QiVFMyU4MiU4MiZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnR4dC1jbGlwPWVsbGlwc2lzJnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9NTliMmUwMTkwZjhkN2UxZGRkZDM5M2M1NmJjZWQ2OTQ%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQweXl1JnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1hM2FjOWY1MzAzNzlkN2Q3NjYxNjRkNjdkNmFlMjljZA%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D9b8400abe4e6c60b6ddfd47486027a83)