avoir un service qui écoute le réseau et qui va exécuter bash.
Ou n'importe quel outil qui fait une commande system:
Par exemple, pour python:
octane@oldie:~$catscript.py#! /usr/bin/pythonimportosos.system("echo this is python")octane@oldie:~$envx='() { :;}; echo pwned'./script.pypwnedthisispythonoctane@oldie:~$
Ce n'est pas python qui est vulnérable, c'est la commande system qui lance "/bin/sh -c"
Donc attention, n'importe quel script (ou prog, ça marche aussi en C, etc..) peut sans qu'on s'en rende compte appeler /bin/sh (et par du fait des liens symboliques -> bash) même si bash n'apparaît pas explicitement.
Et même sans écouter le réseau, on peut imaginer un script qui va parser un fichier de log, ou autres joyeusetés, donc: mettez à jour
# "bash" est plus large que lancer un shell
Posté par octane . En réponse à la dépêche Une faille nommée « shellshock ». Évalué à 10.
Ou n'importe quel outil qui fait une commande system:
Par exemple, pour python:
Ce n'est pas python qui est vulnérable, c'est la commande system qui lance "/bin/sh -c"
Donc attention, n'importe quel script (ou prog, ça marche aussi en C, etc..) peut sans qu'on s'en rende compte appeler /bin/sh (et par du fait des liens symboliques -> bash) même si bash n'apparaît pas explicitement.
Et même sans écouter le réseau, on peut imaginer un script qui va parser un fichier de log, ou autres joyeusetés, donc: mettez à jour