Sicher gibt es viele CGI-Skripte. Aber es dürften nicht so viele sein, die in Bash geschrieben und öffentlich zugänglich sind. Bei meinen Servern weiß ich von einem solchen Skript, und das ist geschützt.
Umso mehr wundert mich die Einstufung der Ernsthaftigkeit.
Wobei die Skripte ja nicht direkt in Bash geschrieben werden müssen. Das Problem tritt ja auch auf, wenn ich z.B. aus einem Perl-CGI mit system irgendwas aufrufe. Genau so etwas versuche ich immer wieder zu verhindern.
Leider sehe ich zu oft so etwas wie my $d = `ls *.txt`. Schon hier wird eine bash aufgerufen. Als ob Perl nicht selbst Verzeichnisse lesen kann.
Für diejenigen, die so was benutzen: richtig wäre: my $d = . Viel effizienter, keine Probleme mit Leerzeichen in Dateinamen und keine Probleme mit dem aktuellen Bash-Problem.
Sicher gibt es viele CGI-Skripte. Aber es dürften nicht so viele sein, die in Bash geschrieben und öffentlich zugänglich sind. Bei meinen Servern weiß ich von einem solchen Skript, und das ist geschützt.
Umso mehr wundert mich die Einstufung der Ernsthaftigkeit.
Wobei die Skripte ja nicht direkt in Bash geschrieben werden müssen. Das Problem tritt ja auch auf, wenn ich z.B. aus einem Perl-CGI mit system irgendwas aufrufe. Genau so etwas versuche ich immer wieder zu verhindern.
Leider sehe ich zu oft so etwas wie my $d = `ls *.txt`. Schon hier wird eine bash aufgerufen. Als ob Perl nicht selbst Verzeichnisse lesen kann.
Für diejenigen, die so was benutzen: richtig wäre: my $d = . Viel effizienter, keine Probleme mit Leerzeichen in Dateinamen und keine Probleme mit dem aktuellen Bash-Problem.