<div dir="ltr">After applying the second update for bash (announced in the past hour), the bug reported below is no longer a problem.<br><pre class="">$ env -i  X='() { (a)=>\' bash -c 'echo date'; cat echo<br><br>bash: X: line 1: syntax error near unexpected token `='<br>bash: X: line 1: `'<br>bash: error importing function definition for `X'<br>date<br>cat: echo: No such file or directory<br><br></pre><div class="gmail_extra"><div class="gmail_quote">On Thu, Sep 25, 2014 at 11:48 AM, Khalid Baheyeldin <span dir="ltr"><<a href="mailto:kb@2bits.com" target="_blank">kb@2bits.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br><div dir="ltr"><div>Someone is reporting that the fix is incomplete. It is still possible to execute commands and redirect their output to files<br><br><a href="https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c23" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c23</a><br><br></div><div>So we are still vulnerable ...<br></div><span class=""></span></div>
</blockquote></div><br>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com" target="_blank">2bits.com</a>, Inc.<br>Fast Reliable Drupal<br>Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>For every complex problem, there is an answer that is clear, simple, and wrong." -- H.L. Mencken<br>
</div></div>