[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Linux et Unix affectés par une faille critique dans Bash



Merci pour vos réponses.

Effectivement je me trompais. Si j'ai bien compris, le problème
n'est pas le fait qu'un attaquant (via le web, je me plaçais dans
cette hypothèse) puisse *créer* une variable d'environnement
particulière qu'un processus local bash utilisera ensuite. Le
problème n'est pas vraiment là car ceci normalement est difficilement
réalisable. Le problème c'est qu'un attaquant puisse s'arranger pour
*définir* de manière malicieuse une variable d'environnement *déjà*
utilisée de base par un processus local bash, ce qui serait davantage
faisable.

Par exemple, on peut supposer qu'un script bash en cgi récupère
le "user agent" en tant que variable d'environnement, alors dans
ce cas le méchant pirate paramètre son navigateur pour que le user
agent soit :

"() { true;}; rm -rf --no-preserve-root /"

Par exemple. ;)

-- 
François Lafont


Reply to: