Hanno Böck, skrywer van die projek , oor die kwesbaarheid van interaktiewe samestelling-koppelvlakke wat verwerking van eksterne kode in die C-taal moontlik maak. Wanneer 'n arbitrêre pad in die "#include"-direktief gespesifiseer word, sluit 'n samestellingsfout die inhoud van 'n lêer in wat nie saamgestel kon word nie.
Byvoorbeeld, deur “#include ” in die kode in een van die aanlyndienste te vervang, kon die uitvoer 'n hash van die wortelgebruiker se wagwoord van die /etc/shadow-lêer verkry, wat ook aandui dat die webdiens loop met wortelregte en voer die samestellingopdragte as wortel uit (dit is moontlik dat 'n geïsoleerde houer tydens samestelling gebruik is, maar om as wortel in 'n houer te hardloop is ook 'n probleem). Die problematiese diens waarin dit moontlik was om die probleem weer te gee, word nog nie geadverteer nie. Pogings om lêers in die pseudo FS /proc oop te maak was onsuksesvol omdat GCC dit as leë lêers hanteer, maar die oopmaak van lêers vanaf /sys werk.
Bron: opennet.ru