YAAのブックマーク / 2014年9月30日 - はてなブックマーク

YAA id:YAA

2014年9月30日のブックマーク (5件)

sanmarie.me
This domain may be for sale!
YAA 2014/09/30
リンク
大ハプニングのNSXツーリング｜みんカラ - 車・自動車SNS
YAA 2014/09/30
リンク
Perl CGI 中での Bash "Shellshock" 脆弱性 (CVE-2014-6721) 影響有無を確認した - [ぴ](2014-09-29)
引数ありで、それを引用符で囲っている場合のみ影響を受けることが確認できた。なお、 system LIST system PROGRAM LIST (略) スカラの引数が一つだけの場合、引数はシェルのメタ文字をチェックされ、もしあればパースのために引数全体がシステムコマンドシェル (これは Unix プラットフォームでは /bin/sh -c ですが、他のプラットフォームでは異なります)に渡されます。シェルのメタ文字がなかった場合、引数は単語に分解されて直接 execvp に渡されます; この方がより効率的です。 [Perlの組み込み関数 system の翻訳より引用] によると、引用符があるかどうかではなく、メタ文字があるかどうかが生死を分けるポイントとのこと。使用したコード sstest-sh.cgi #!/bin/sh echo "Content-type: text/pl
YAA 2014/09/30
リンク
shellshock と sudo - hogehoge @teramako
CVE-2014-6271を発端とする bash の脆弱性、いわゆる ShellShock って呼ばれている奴。環境変数に仕込んだ任意のコマンドを実行できてしまうってことから、CGI との組み合わせが取り沙汰されている。その頃 sudo の設定の勉強をしていたので、ふと気になったのが、sudoの設定で環境変数を持ち越して使用することができる env_keep の設定。sudo で root としてbashを実行させれば、任意のコマンドを特権昇格して実行できちゃうんじゃ？というもの。早速試してみた。普通に実行したもの $ export ORACLE_SID='() { :;}; echo Vulnerability !!!' $ cat /usr/local/bin/testcmd #!/bin/bash -x id printenv ORACLE_SID $ /usr/local/
YAA 2014/09/30
リンク
格安SIM「OCNモバイルONE」がプラン改定、月1,450円で4GBに
ドコモGALAXY S5 ACTIVE SC-02G発表、耐衝撃・耐温度・耐湿度・防水・防塵の薄型モデル
YAA 2014/09/30
sim

mobile

MVNO
リンク
- 2014年10月1日
- 2014年9月30日
- 2014年9月28日