気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
shellshock と sudo - hogehoge @teramako
17 users
teramako.hatenadiary.org
teramako.hatenadiary.org
teramako.hatenadiary.org
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
CVE-2014-6271を発端とする bash の脆弱性、いわゆる ShellShock って呼ばれている奴。環境変数に仕込ん... CVE-2014-6271を発端とする bash の脆弱性、いわゆる ShellShock って呼ばれている奴。環境変数に仕込んだ任意のコマンドを実行できてしまうってことから、CGI との組み合わせが取り沙汰されている。 その頃 sudo の設定の勉強をしていたので、ふと気になったのが、sudoの設定で環境変数を持ち越して使用することができる env_keep の設定。sudo で root としてbashを実行させれば、任意のコマンドを特権昇格して実行できちゃうんじゃ? というもの。 早速試してみた。 普通に実行したもの $ export ORACLE_SID='() { :;}; echo Vulnerability !!!' $ cat /usr/local/bin/testcmd #!/bin/bash -x id printenv ORACLE_SID $ /usr/local/
teramako.hatenadiary.org
teramako.hatenadiary.org
teramako.hatenadiary.org
teramako.hatenadiary.org
kuruma-news.jp
anond.hatelabo.jp
toyokeizai.net
www3.nhk.or.jp
note.com/shunkurosaki
falsandtru.hatenablog.com
forest.watch.impress.co.jp
internet.watch.impress.co.jp
qiita.com/N700A
gigazine.net
www.scylladb.com
ebisumart.com
www.nicovideo.jp
blog.excite.co.jp/dezagen
twitter.com/i_mediator
2014/09/30 リンク