On 2014-09-26 11:44:05 +0200, Sébastien NOBILI wrote: > Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit : > > Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh" vers dash > > empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ? > > Si tous les CGI utilisent « /bin/sh », alors pas de problème. En > revanche, ceux qui utiliseraient explicitement « /bin/bash » > seraient impactés.
Ou ceux qui exécutent un programme menant indirectement à l'exécution de bash, puisque l'environnement est hérité. grep /bin/bash /bin/* /usr/bin/* peut donner une idée de ce qui ne doit pas être exécuté (directement ou indirectement). -- Vincent Lefèvre <[email protected]> - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: https://lists.debian.org/[email protected]
