bashのリモートコードが実行できてしまうバグといっていいでしょう。
CGIは、入力パラメータを環境変数として受けることから、CGIを通じて(このバグを衝いて、任意のコードが)リモートサーバから可能になるから問題ですね。
Apacheで、mod_cgiを立てていると、Apacheユーザーのシェルをリモートから叩けるということです。
DHCPなどでも同様の問題が指摘されています。
lang
1env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
というコマンドをbashから叩くと、vulnerableがechoできてしまうのが、脆弱性
です。
問題を複雑にしたのは、パッチリリース後、別のバグが発見されたからです。
lang
1env X='() { (a)=>\' sh -c "out echo not patched"
というコマンドを叩くと、outというファイルが吐き出され、not patchedが出力されます。
(>out echo "not patched"と解釈されてしまうのですね)
現在は、これらの一連のバグは修正されていますので、必ずディストリビュータの提供するbashを最新版にアップデートしましょう。
私の感想は、CGI(mod_cgi)はもうそろそろ役目を終えたかなという感想です。
mod_cgiを実行すると、一回環境変数に受けるのは、仕様としてどうかなと思います。今回のバグ修正でbashが完璧な物になったとは誰も言い切れないですよね。
攻撃者と開発者のモグラ叩きゲームに巻き込まれるのは嫌なので、mod_cgiはoffにしようと思いました。
この辺りに詳しく詳細がのっています。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。