Pourquoi «AcceptEnv *» est-il considéré comme non sécurisé?

Dans /etc/ssh/sshd_config, il existe une option appelée AcceptEnvqui permet au client ssh d'envoyer des variables d'environnement. Je dois pouvoir envoyer un grand nombre de variables d'environnement. Celles-ci changent à chaque connexion du client, donc les mettre dans un script de connexion sur le serveur serait plus difficile.

J'ai lu que ce "AcceptEnv *"n'était pas sûr. Je voudrais comprendre pourquoi avant d'essayer d'obtenir une liste de toutes les variables d'environnement qui sont tentées d'être définies pour y être placées.

Pourquoi est-il considéré comme peu sûr? Puis-je obtenir un exemple?

L'activation du traitement de l'environnement peut permettre aux utilisateurs de contourner les restrictions d'accès dans certaines configurations à l'aide de mécanismes tels que LD_PRELOAD.

Toutes les versions des pages de manuel de sshd_config ne le mentionnent pas. Si vos variables d'environnement sont modifiées au préalable et que certains processus privilégiés sont exécutés avec de nouvelles bibliothèques spécifiées par cela, des problèmes peuvent survenir.

Jetez un œil à http://www.dankalia.com/tutor/01005/0100501004.htm et recherchez "LD_PRELOAD Exploit". Désolé, la page n'a pas de liens d'ancrage.

Voir aussi cette question StackOverflow, " Quelle est l'astuce LD_PRELOAD? "

La définition de variables d'environnement après la connexion est correcte, mais lorsque ces variables sont interprétées par le démon ssh comme défini par AcceptEnv, de mauvaises choses peuvent se produire.

N'acceptez pas les variables d'environnement:

Voir l'exploit Shellshock qui est sorti récemment .. si vous acceptez les variables d'environnement, vous ouvrez un exploit vraiment désagréable.