У bash знайдено помилку, яка дозволяє виконати код, який переданий в змінній середовища: bash виконує команди, які перелічені після експортованої функції. Напр.:
TEST_ENV='() { ignore; } ; /bin/ls' bash -c "/bin/true"Вже доступні латки для bash. Рекомендується негайно обновити всі ваші сервери, так як вразливість може бути використана дистанційно, напр. через запит до скрипта CGI чи сервера SFTP.
Джерело:
http://seclists.org/oss-sec/2014/q3/650
