Merci pour vos réponses.
Effectivement je me trompais. Si j'ai bien compris, le problème
n'est pas le fait qu'un attaquant (via le web, je me plaçais dans
cette hypothèse) puisse *créer* une variable d'environnement
particulière qu'un processus local bash utilisera ensuite. Le
problème n'est pas vraiment là car ceci normalement est difficilement
réalisable. Le problème c'est qu'un attaquant puisse s'arranger pour
*définir* de manière malicieuse une variable d'environnement *déjà*
utilisée de base par un processus local bash, ce qui serait davantage
faisable.
Par exemple, on peut supposer qu'un script bash en cgi récupère
le "user agent" en tant que variable d'environnement, alors dans
ce cas le méchant pirate paramètre son navigateur pour que le user
agent soit :
"() { true;}; rm -rf --no-preserve-root /"
Par exemple. ;)
--
François Lafont
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers [email protected]
En cas de soucis, contactez EN ANGLAIS [email protected]
Archive: https://lists.debian.org/[email protected]
