ügyes!

DSA-2217-1

A dhclient3 per design root EUID-dal fut, és mindig fut. (Mindig is szúrta a szememet; az egyetlen root daemon, amelynek külső interface-en van nyitott portja, és nem igazán tudja az ember iptables-zel szűrni, elég logikus módon.) A dhcp3-client debian csomag changelog-ja szerint a legelső csomagolás 1996-ban történt. Az ember azt gondolná, a program kockázata és kora együttesen elég kellene legyen ahhoz, hogy shell injection már ne fordulhasson elő benne. Ügyes!

Hozzászólások

manyeyeballs (hivatalos indián nevén: "Sok Szemek" vagy "Sok Szemét", a tudósok még vitatkoznak a fordításon) nem vetette rá szemének átható sugarát