black_lord Modérateur
Truth speaks from peacefulness | Voir ce message dans le sujet non filtré
goblin_rieur a écrit :
bonjour,
le correctif est sencé être fiable, dès à présent, mais il y aura de toute façon à la prochaine version une version définitive de ce point de vu précis... soit avec soit sans modification du patch actuel.
la faille était/est réelle mais son exploitation est fatalement peu probable, il faut absoluement un site en php avec un exec pas protegé appelant un script bash.... ce qui devrait être interdit à la base car peu logique comme utilisation.... et bien sur le tout à condition d'avoir un site php hébérgé chez soi ou sur un fournisseur de service comme ovh...par exemple.
|
non, pas du tout. c'est plus que réducteur et faux.
Imagine que tu analyses tes access logs (action à posteriori donc); et que tu mettes l'UA dans une variable pour l'afficher (c'est un exemple, pas un PoC) : te voila vulnérable. il n'y a pas un besoin impératif d'interactivité, et encore moins de PHP obligatoirement. ---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
|
