bashに脆弱性が見つかって、Shell Shockという名前が付けられた。
その脆弱性があるかないかを調べる為のコマンドが以下のようなもの。
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
なんだけど、ぱっと見た感じではどういう構造なのかがよく分からなかったので^^;、意味を調べてみた。
(ちなみに当初はCygwinのbashは問題ないと思ってたんだけど、改めて試してみたらアウトだったorz)
あと、環境変数に関数定義を入れて関数として実行できるのは脆弱性対応前のバージョンだけで、脆弱性を対応したバージョンでは環境変数名が変更になったようで、関数と認識されないから実行できないようだ。
まぁ、この仕様変更で困るのは攻撃者だけだと思うけど^^;
P.S.
シェルショックという感じの名前のバスケットシューズありそうだなw
※コメント投稿者のブログIDはブログ作成者のみに通知されます