bash の危険な算術式 - どさにっき

■ bash の危険な算術式 _ 使ってる人がいちばん多いだろうからタイトルでは bash としてるけど、ここで取り上げることは zsh および ksh 一族(本家 ksh、pdksh、mksh)にも該当する。ash、dash などでは該当しない。 _ 以下のシェルスクリプトには脆弱性がある。わかるだろうか。 #!/bin/bash # "品目,単価,個数" の形式の CSV を読んで、"品目,合計金額" の形式で出力する csv="foo.csv" while IFS=, read item price num; do echo "$item,$((price*num))" done < "$csv" これ、細工された CSV ファイルを食わせることで、任意コードの実行ができてしまう。数ある脆弱性の中でもとくにヤバいやつだ。どこが穴なのかというと、タイトルにもあるとおり算術式なのだが、し

[t-tanaka]

昔から，シェルの変数展開はほんとワケわかんない。いまだに理解しているとはとてもいえない。

[khtokage]

うわぁ……　個人的にshellはバッドノウハウ多すぎて調べるのも覚えるのも嫌なので、単純なループよりも複雑なことが出てきたらスクリプト言語に移行することにしてる。

[Haaaa_N]

まあSQLインジェクションみたいなものだから外部入力そのまま信用してはいかんな

[OkadaHiroshi]

こういうのはlintソールで対応すべき問題だと思う。現状はshellcheckでも警告はでないようだ。

[ElizaAcolyte]

これはしんどすぎる……。外部からの入力値をshellで食うなと言うことか。安全に組める自信がない。

[fashi]

「算術式内に算術式として解釈される文字列が含まれている場合、再帰的に展開」「外部からのログに含まれる文字列をうかつに算術式評価される文脈で扱うと脆弱性」この便利機能を無効にするオプションとかないのかな

[dekasasaki]

“ここまでの説明で、算術式が危険な罠だということがわかっただろうか。まだわからんか。” 唐突に怒られた

[stealthinu]

『ここまでの説明で、算術式が危険な罠だということがわかっただろうか。まだわからんか。』これは気が付かん。説明されてもだいぶしんどい。

[momonga_dash]

人類には早すぎる

[fa11enprince]

うーむ。シェルの変数展開はいつも難解

[kamenashi1982]

$(( var )) のvarに$つけなくていいのはすんごい気色悪い

[natroun]

こんなのわかるわけないよ……とか思ってしまうな。世に脆弱性の種は尽きまじ。

[benridane111]

危険の履き違え。クリティカルなコマンドを有効にしたまま任意のコードを食わせたからでしょ。。心配ならsandbox内で実行するべきだし。

[itochan]

難しすぎ

[ngyuki]

算術式を使わないようにすれば・・と思ったけど結構色んな所で暗黙のうちに算術式として評価されてしまうのね・・

[akulog]

うぉ、なるほど

[hylom]

危ないからshとawkを使おう

[otoan52]

外からのデータを処理するのにbashは使わないけど、sudoフラグをつけたbashスクリプトとか怖そうだな……。

[t1mvverr]

構文も複雑で可読性も良くないし素直にコマンド打つだけで良くね

[t_motooka]

入力を正しく使って、幸せなbash生活を送りたい。

[amino_acid9]

bashやzshはこういう（自分が）理解できない挙動があるので、シェルスクリプトは/bin/sh(dash)で処理が簡単なものしか書かないようにしてる。

[perl-o-pal]

cygwinのkshがmkshかなんかだったような。なんかいろいろ違ってた。黒魔術は濫用危険。

[yuno001]

それなりにbashに触れているつもりだったが、話の頭から全然わからん。bashってこんな深いものだったの。

[zyzy]

こういう罠に気を配れない人間なので、使い捨てワンライン以外はもうシェル使わず普通の言語使うんだよなぁ……。

[ijustiH]

えーむーりー

[ssids]

こういうの、USP の人たちとかどうしてるのかな

[crosscrow]

正直shellはIE6と同じくらいevilだと思うんだ…

[k_igrs]

shellって、なんでこの仕様が改善されないんだろうってのが多い印象。ワイルドカード展開のオーバーフローとか。

[t_yano]

シェルでユーザー入力を受け付けるようなプログラムを書くなという話かというと、俺らが使って色んなコマンド類も、実は単なるシェルスクリプトだったりするしなあ。つ俺らの入力を受け取って動いている。

[z67kjh]

凡俗なのでまだわかりませんでした

[rryu]

算術式というか配列の添え字がなぜかコマンド置換の対象というのが危険すぎる。それがなければ再起展開キモイくらいなのに…

[nicht-sein]

ふむ。つまりはシェルスクリプト使わなければいいんですね！わかりました！（わかってない）

[pullphone]

expr使えばいいじゃん

[kkobayashi]

あーなるほど怖いね。ときどきすごい凝ったシェルスクリプト見るけどそう言うことするためのツールじゃないんだろうなと思う

[I8D]

夏の怪談。

[daichirata]

防げる気がしないので、算術式が必要だったり外部のファイルを触るスクリプトは極力shell以外で書こうと思った

[iww]

よくある話