J'étoffe ma réponse-question: puisque le problème qui nous occupe n'est pas le contenu des variables d'environnement mais les crasses qui traînent après le guillemet de fermeture, un simple "parsing" des variables avant de présenter les valeurs ainsi filtrées aurait suffit à éliminer les commandes indésirables. C'est, notamment, ce que fait filter_input() en PHP avec les données en entrée, par exemple.
[^] # Re: Bug ou fonctionnalité ?
Posté par FantastIX . En réponse à la dépêche Une faille nommée « shellshock ». Évalué à 1.
J'étoffe ma réponse-question: puisque le problème qui nous occupe n'est pas le contenu des variables d'environnement mais les crasses qui traînent après le guillemet de fermeture, un simple "parsing" des variables avant de présenter les valeurs ainsi filtrées aurait suffit à éliminer les commandes indésirables. C'est, notamment, ce que fait filter_input() en PHP avec les données en entrée, par exemple.