21/01/01 06:50:52.75 V53nCtNf.net
>>696
shellshockに限っていえば、OSSじゃなくても容易に脆弱性に気づくことが出来る
うんよくそれまで研究者の調査対象にならなかっただけだろう
脆弱性の種類としてはSQLインジェクションなどと大差ない
普段送らないような細工したデータを送りつけると発生する問題だから
OSSだからこそ見つかったデータというわけでもない
結局OSSでもクリティカルなバグがあるし、何年も見つからないこともよくある話というだけ
> 2014年までCGIサーバーがほとんどノーガードだったと取るかの違い。
ちゃんとサーバー側でバリデーション処理をしていれば問題ない
・サーバー側でバリデーション処理をしてない
・クライアントから送られてきたデータを環境変数に入れている
・処理の内部でbashが起動するようなことをしている
という条件を満たしてはじめて脆弱性をつくことが出来る