bashの脆弱性問題

2014年9月24日にbashの脆弱性が発表されました。もうたくさんの記事があるので、今更感は否めませんが(。・ω・)ノ゙

今年の春頃に、「Heartbleed」と呼ばれるopensslの脆弱性がありました。今回は「shellshock」と呼ばれているようで、「Heartbleed」よりも深刻な問題との声もあります。

bashの環境変数の処理の部分で問題があり、細工を施した環境変数を受け入れた場合、そこに含まれる任意のコマンドまで実行してしまう恐れがあるようです。また、システム内の情報を盗み見られたり、サーバーを改ざんされたりするなど、大きな影響を受ける恐れもあるそうです。かなり恐ろしいですね( ̄Д ̄;)

実際に試している動画もアップされていますし、簡単にできるようです。

25日にすぐにパッチがでましたが、それが不十分であるとRedHatから情報があがり、26日に再度アップデートされたようです。
CentOSの最新版のbashのパッケージも本日(日付的には昨日ですが…)11時に公開されていました。管理人も早速アップデートしました。

会社でも、bashのアップデート対応やらで、てんてこまいでしたよ。(ノд-。)

bashのアップデートはrpmコマンドやyumコマンドで簡単にできますし、サービスにもさほど影響がないので、早めにアップデートすることをお勧めします。
(古いシステムの場合は簡単にはいかないでしょうが。。。)

ちなみに、以下のように実行して結果が出力されたら対応できているようです。

$ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です