<html><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
</head><body bgcolor="#FFFFFF" text="#000000"><br>
<br>
<blockquote style="border: 0px none;" 
cite="mid:alpine.LSU.2.00.1410141328180.4144@hermes-1.csi.cam.ac.uk" 
type="cite">
  <div style="margin:30px 25px 10px 25px;" class="__pbConvHr"><div 
style="display:table;width:100%;border-top:1px solid 
#EDEEF0;padding-top:5px">       <div 
style="display:table-cell;vertical-align:middle;padding-right:6px;"><img
 photoaddress="dot@dotat.at" photoname="Tony Finch" 
src="cid:part1.01070307.02000001@redbarn.org" 
name="compose-unknown-contact.jpg" height="25px" width="25px"></div>   <div
 
style="display:table-cell;white-space:nowrap;vertical-align:middle;width:100%">
        <a moz-do-not-send="true" href="mailto:dot@dotat.at" 
style="color:#737F92 
!important;padding-right:6px;font-weight:bold;text-decoration:none 
!important;">Tony Finch</a></div>   <div 
style="display:table-cell;white-space:nowrap;vertical-align:middle;">   
  <font color="#9FA2A5"><span style="padding-left:6px">Tuesday, October 
14, 2014 5:31 AM</span></font></div></div></div>
  <div style="color:#888888;margin-left:24px;margin-right:24px;" 
__pbrmquotes="true" class="__pbConvBody"><div><!----><br>A CGI script 
invoked by Apache httpd with HostnameLookups On<br>(the default is Off, a
 safer setting is Double)<br></div></div>
</blockquote>
thanks, that makes sense. the security advisory posted here did not 
mention any real world examples. i agree that apache with 
HostnameLookups turned on, on redhat or apple systems where /bin/sh is 
bash, is a real world example.<br>
<br>
apparently the apache team believed as i did that no shell would ever 
eval() its environment variables no matter with or without input 
checking. the bash team really violated the principle of least 
astonishment with function inheritance.<br>
<br>
<div class="moz-signature">-- <br>Paul Vixie<br>
</div>
</body></html>