なにこれやばい / “Bash specially-crafted environment variables code injection attack | Red Hat Security” http://t.co/C3cNAdyoik
— とみたまさひろ (@tmtms) 2014, 9月 24@ngyuki Red Hat は同じですね。Ubuntu の sh の実体は dash なので別物。
— とみたまさひろ (@tmtms) 2014, 9月 24「意識高い系」ってその呼び名からややプラスイメージっぽい雰囲気もあるので、「若年性老害」と言い直した方が良いかもなぁ、とか思った今日この頃です。
— げんれい工房 (@Genrei_studio) 2014, 9月 23混んでる電車では目の前の席が空いたら座るかその席の前から少しよけるのが義務だと思うの。
— とみたまさひろ (@tmtms) 2014, 9月 24ロシアの老婆、襲ってきた狼を斧の一撃で屠る
http://t.co/1tsfPsbMGW
『恐怖は一切なかった。わざと左手を出して噛みつかせて、喉の奥に手を突っ込んで狼の動きを止めた。痛みは無視した。後は渾身の力で頭をカチ割った。』 pic.twitter.com/63kDYwMu32
— カフェイン戦車長@オリジナルブレンド (@Wolfrandre) 2014, 9月 24キートンの父ちゃんかよww
— いまいまさのぶ (@masanobuimai) 2014, 9月 24同じこと思った
— とみたまさひろ (@tmtms) 2014, 9月 24次回の鉄道発見伝は 9月28日(日)12:30~13:30
【歴史旅~しなの鉄道「ろくもん」~】
長野電鉄旧屋代駅ホームに初潜入!屋代線の廃止後はどうなってる?
http://t.co/gixyoDebKr
#鉄道 #長野 #しなの鉄道 #長野電鉄
— 田中匡史 (@spmasashi) 2014, 9月 24今朝は20℃以上ある。暖かい。
— とみたまさひろ (@tmtms) 2014, 9月 24あれ? bash のアップグレード後に /sbin/ldconfig 実行する必要あるの? なんで?
— とみたまさひろ (@tmtms) 2014, 9月 25リブートしろってのは、既に侵入されてる可能性を考えたらわからんでもない。
— とみたまさひろ (@tmtms) 2014, 9月 25個人的なサーバーは Ubuntu だから問題ない。
— とみたまさひろ (@tmtms) 2014, 9月 25自分の bash 祭りは終了。
— とみたまさひろ (@tmtms) 2014, 9月 25しかし、bash の振る舞いがわからんな。bash の内部でどっかで勝手に文字列を eval してる? パッチあてた後でも「error importing function definition for `x'」ってエラーが出るのも妙な動きだと思うんだけど、大丈夫なんかな。
— とみたまさひろ (@tmtms) 2014, 9月 25@stealthinu @tmtms bashの親から受け取った環境変数のうち内容が "() {〜}" であるものをシェル関数としてインポートするようです。なので警告はアリ…かなぁ。
f="() { echo f called; }" bash -c 'f'
f called
— シェル魔王と呼ばれて (@satoh_fumiyasu) 2014, 9月 25@stealthinu @tmtms bash(1) に起動時の処理として「importing function definitions from the shell environment at startup」が挙がってますね。ほかに記述はなさげ? 余計な機能だな…。
— シェル魔王と呼ばれて (@satoh_fumiyasu) 2014, 9月 25何この仕様こわい。
ls='() { rm hoge; }' bash -c 'ls'
rm: cannot remove 'hoge': No such file or directory
— とみたまさひろ (@tmtms) 2014, 9月 25@satoh_fumiyasu @stealthinu もう仕様がバグっぽいです
— とみたまさひろ (@tmtms) 2014, 9月 25何らかの方法でコマンド名と同じ名前の環境変数を設定できれば、スクリプト内部のコマンドを置き換えることができると言うことか。こわい。
— とみたまさひろ (@tmtms) 2014, 9月 25@stealthinu 信頼できない値を環境変数に突っ込むという手法自体が悪手だってことじゃないですかね。
— とみたまさひろ (@tmtms) 2014, 9月 25@stealthinu @hkoba Ubuntu でも再現しましたよ
— とみたまさひろ (@tmtms) 2014, 9月 25bash が環境変数の値を勝手に eval するなんてこと知ってたら、みんな bash なんて使ってなかったと思う。
— とみたまさひろ (@tmtms) 2014, 9月 25@stealthinu ああ、このツイートは勘違いかもしれないですね。
— とみたまさひろ (@tmtms) 2014, 9月 25長野のみなさん 9/27(土)開催 申し込みまだ間に合います!【JAZUG4周年記念! どこよりも雲に近い長野でするクラウドの話 feat. NSEG】 http://t.co/fPvcOUcf9V #jazug #azurejp pic.twitter.com/XNwspIkDD4
— Microsoft デベロッパー (@msdevjp) 2014, 9月 24Ubuntu の sh は何で bash じゃないんだよ!とか思ってたんだけどゴメンナサイ。
— とみたまさひろ (@tmtms) 2014, 9月 25sh と言っといて bash でしか動かないスクリプト書くなという気持ちは分かるけど、最近の若い人は 素の sh は知らないだろうしなぁ。vim じゃない vi を知らないのと同じように。
— とみたまさひろ (@tmtms) 2014, 9月 25今頃 Ruby 1.9.3 から Ruby 2.1 に移行しようとしてるマン
— とみたまさひろ (@tmtms) 2014, 9月 25Ruby 2.0.0 で Array#to_s の戻り値が変わったのね…。要素が to_s じゃなくて inspect されてる。
— とみたまさひろ (@tmtms) 2014, 9月 25Ruby 2.1 から Errno::ENOENT のメッセージに "@ rb_sysopen" ってのが追加されてる。
— とみたまさひろ (@tmtms) 2014, 9月 25Ruby 2.0.0 以降で StringIO#set_encoding が効いてないような気がする。
— とみたまさひろ (@tmtms) 2014, 9月 25いや、効いてないことはないな。特殊なケースかな。
— とみたまさひろ (@tmtms) 2014, 9月 25require 'stringio'
s = StringIO.new
s.set_encoding('ASCII-8BIT')
s.write "ほげ"
s.rewind
p s.read.encoding
1.9.3だとASCII-8BIT, 2.0&2.1だとUTF-8
— とみたまさひろ (@tmtms) 2014, 9月 25@shinanorailway1 @shinanorailway_ URLのページで「レールスター」が「レーススター」になってます。
— とみたまさひろ (@tmtms) 2014, 9月 25@ngyuki Postfix は main.cf で指定した環境変数しか外部のプログラムに渡さないし、外から指定できるのは EHLO 名くらいだけど、変な文字列は SMTP の時点で弾かれるから、大丈夫だと思ってます。
— とみたまさひろ (@tmtms) 2014, 9月 25そろそろワイドショーで「幼児をターゲットにした犯罪が増えている」と言い出す人がいるかもしれないので貼っておきます。小学生以下が被害者となった殺人は40年前に比べ1/5以下になっています。 http://t.co/aPufQus2Ie pic.twitter.com/fSGigN1HDH
— たられば (@tarareba722) 2014, 9月 24わー、某サーバーの /bin/sh が bash にリンクされてた。Ubuntu なのにぃ
— とみたまさひろ (@tmtms) 2014, 9月 25Ubuntu だと dpkg-reconfigure dash コマンドで /bin/sh を bash か dash に切り替えられる。
— とみたまさひろ (@tmtms) 2014, 9月 25To better serve the MySQL community, Oracle is making the MySQL source code publicly available on GitHub. http://t.co/qKcjv31z9e
— yoku0825 (@yoku0825) 2014, 9月 25