FCGIdは環境変数を使用しますか? (または、CVE-2014-6271 / 7169の攻撃ベクトルの可能性はありますか?)
httpd(攻撃ベクトル):
CGIスクリプトは、この問題の影響を受ける可能性があります。CGIスクリプトがWebサーバーによって実行されると、環境変数を使用してデータがスクリプトに渡されます。これらの環境変数は、攻撃者によって制御される可能性があります。 CGIスクリプトがBashを呼び出す場合、スクリプトはhttpdユーザーとして任意のコードを実行する可能性があります。 mod_php、mod_Perl、およびmod_pythonは環境変数を使用せず、影響を受けないと考えています。
mod_phpは、環境変数を使用しないため、 CVE-2014-6271 および CVE-2014-7169 に対して脆弱ではありません。 mod_fcgid 2.xは環境変数を使用しますか?
_mod_fcgi_自体は脆弱ではありません。従来のCGIの環境変数ではなく、プロセス間通信を介してApacheと通信します。 _mod_fcgi_を介して実行されるCGIスクリプトは、1)環境変数の設定を強制でき、2)bashを呼び出す(たとえば、system()呼び出しまたはバッククォートを介して)場合、依然として脆弱である可能性があります。補間)。