カレンダー

11 | 2016/12 | 01
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

広告



最近の記事

カテゴリー

DATE: CATEGORY:TECH


bashでかなり危険な脆弱性が出ています。
先日の「Heartbleed」よりも危険との話も。
その名も「ShellShock」!!

再びのOpenSSL脆弱性への対策:なんとなしの日記再びのOpenSSL脆弱性への対策:なんとなしの日記hatena
先日、Heartbleed問題が出たのが記憶に新しい中、再びOpenSSLの脆弱性が出ているらしい。OpensslのHeartBeatの脆弱性(CVE-2014-0160)対応について:なんとな...

内容


やっぱり詳しくは専門の方にゆだねる。
にしても、任意のシェル実行とか恐ろしすぎる。

ニュース - 「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も:ITproニュース - 「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も:ITprohatena
 UNIXおよびLinuxで広く使われているシェル「Bourne Again Shell(Bash)」に重大な脆弱性「CVE-2014-6271」が確認され、米Red Hatなどが注意を呼びかけている。同脆弱...

bashにコードインジェクションの脆弱性「Shellshock」、管理者に大きなショックhatena
UNIX系OSのシェル「bash」に極めて深刻な脆弱(ぜいじゃく)性が発見された。すでにこの脆弱性をスキャンする通信を観測したという報告もあり...

bashの環境変数の処理に問題があり、細工を施した環境変数を受け入れた場合、そこに含まれる任意のコマンドまで実行してしまう恐れがある。


Shellshockが深刻な問題とされている大きな理由は、WebサーバーがCGIスクリプトを実行する際の受け皿としてbashが利用されているケースが多いからだ。しかも、「CGIは入力値を環境変数として扱うので、攻撃者が任意の内容を設定しやすい」(ラック)。



対策手順


今回も、opensslの時と同様に
yumアップデートで対応可能な状況です。

# opensslアップデート
$ sudo yum update bash

で、あとはライブラリの依存関係を更新しとく。
もしくは、再起動でもOK。
$ sudo /sbin/ldconfig

これで終わり。

確認方法1


updateした内容を確認しておきます。

# rpm -q --changelog bash | head -n 4
* Thu Sep 25 2014 Ondrej Oprala - 4.1.2-15.2
- CVE-2014-7169
Resolves: #1146322

「CVE-2014-7169」での修正が入ってればOKのようです。

9/24にリリースされた「CVE-2014-6271」での対応では不十分だったようで、
改めて「CVE-2014-7169」として対応されたようです。

確認方法2


以下のコマンドを実行してみる。
ここで、こんな表示だったらNG。

$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
hello

で、パッチをあてて実行してみる。
と以下が出ればOK、、、らしいんですが、

$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello

実行してみたら、こんな感じになりました;;

$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
hello

まぁ、結果としては環境変数経由での実行はされてない
ようなので、大丈夫かな、と。

最後に


そういえば、脆弱性が危険なときって通称がつきますね。
世の中に浸透しやすくするため、、、かな?

タグ : TECH 脆弱性 bash yum

Comment

コメントの投稿

管理者にだけ表示を許可する


トラックバック


この記事にトラックバックする



copyright © なんとなしの日記 all rights reserved.
内職☆在宅ワークの最強は?アフィリエイト!. 初心者だってカッコ良いホームページ作るぅ!
Powered by FC2ブログ
Related Posts Plugin for WordPress, Blogger...