http://japan.cnet.com/news/service/35054245/
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
危ないのはシェルだけでしょ、と思ったら、シェルスクリプトCGIで危ないらしい。なるほど
http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html
bashはもちろん有名だしRedhat系とかFreeBSD(久しぶりに書いた)で使ってますが、数少ない例外がdebian系。/bin/sh の実体は dash。
http://ja.wikipedia.org/wiki/Debian_Almquist_shell
あまり気にして無かったけどashベースだったのか。流石はdebian。安定志向で売ってるだけあります。そしてubuntuにも付いてくる。
簡単に試した限りだとHTTP_USER_AGENT変数の中身が悪さするようなので、
一旦非bashスクリプトで包んでHTTP_USER_AGENTをunsetしてから本来のスクリプトに渡せば平気ですね。
bash側からHTTP_USER_AGENTに関する記述は見当たらないので、どっちかというと便利機能の範疇で、そのまま渡してくるapache/CGI機構が悪いという気もする。
