GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に

90 曰く、　GNU Bashに新たな脆弱性が発見された（CVE-2014-6271）。環境変数を経由して関数定義を渡す場合に、細工をしてコマンドを実行させることができる。攻撃に使う環境変数の名前に制限はなく、たとえば内部的にshを実行するようなCGIに対してHTTP ユーザーエージェントを送る際や、ssh接続時に環境変数を渡す時など、環境変数を改変した状態でbashが呼ばれるようになっていれば攻撃ができる（ThreatPost、CSO Online）。

　この脆弱性はすべてのバージョンの bashにあるとされ、Mac OS Xにも当該のバージョンが含まれるとされている。一部の Linux ディストリビューションではすでにアップデートを配布している。

　Red Hat Security Blogによると、脆弱性のあるバージョンでは以下の"echo vulnerable"の部分が予期せず実行される。

　 $ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"

　スラッシュドットのコメントを読む | セキュリティセクション | Linux | セキュリティ | UNIX

　関連ストーリー：
プログラミング言語話題ランキングでBashが急上昇 2013年03月13日
「bash 4.0」リリース、4年7カ月ぶりのメジャー・アップデート 2009年02月25日