Bash の脆弱性が騒ぎになっていたのでアップデートした件

環境変数に仕込まれたコードを実行してしまう Bash の脆弱性に関して、Bash のアップデートをしたお話。

公開日: 2014-09-25 11:45
更新日: 2020-05-27 15:29

シェルスクリプトで書かれた CGI やシェル経由で外部コマンドを呼び出すようなコードを外部からアクセス可能なサーバに置いている場合には大変なことになりそうな Bash の脆弱性（Shellshock って呼ばれてるみたいですね）が今朝から話題になっていました。

関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。

この脆弱性は、多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。攻撃経路にはCGIスクリプトやOpenSSHが使用できるという。

「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開： ITmedia エンタープライズから引用

ということで、悪用された場合はダメージでかいです。() { :;}; rm -rf / みたいなの注入されたら死......

RedHat、CentOS 共に今回の脆弱性に対応した Bash の最新版がリリースされていますので、アップデートをしておいた方がよいでしょう。

RedHat については下記、

Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux ： Red Hat Customer Portal

CentOS については下記にそれぞれのバージョンごとの Bash 最新版のリストがあります。

アップデート自体は、yum コマンドが使えるなら

# yum update bash

で OK です。

その後、システムを再起動します（Red Hat サイトではこれを推奨）。サービス等の都合でシステムの再起動が難しい場合は、

# /sbin/ldconfig

して共有ライブラリの依存関係情報を更新しておきましょう。

追記（2014-9-26 10:04）

下記のような情報もありますので、しばらくは注意が必要かもしれません。

Update: 2014-09-25 03:10 UTC

Red Hat has become aware that the patch for CVE-2014-6271 is incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169. See also Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux. Red Hat is working on patches in conjunction with the upstream developers as a critical priority.

Red Hat advises customers to upgrade to the version of Bash which contains the fix for CVE-2014-6271, and not wait for the patch which fixes CVE-2014-7169. CVE-2014-7169 is a less severe issue and patches for it are being worked on.

Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) ： Red Hat Customer Portal から引用

「CVE-2014-6271 に対するパッチが不完全なので、新たに問題を CVE-2014-7169 に割り当てた。この問題に対するパッチは現在開発中。とはいえ、公開済みの CVE-2014-6271 に対するパッチは早急に適用しろ」

追記（2014-9-28 11:39）

CVE-2014-7169 に対する修正パッチが各ディストリビュータより提供されています。可能な限り適用しましょう。

Red Hat

Important: bash security update ： Red Hat Customer Portal

CentOS

Debian

DSA-3035-1 bash -- security update ： Debian Security Advisory

Ubuntu

USN-2363-2: Bash vulnerability ： Ubuntu

Bash の脆弱性が騒ぎになっていたのでアップデートした件

追記 （2014-9-26 10:04）

追記 （2014-9-28 11:39）

Red Hat

CentOS

Debian

Ubuntu

関連エントリー

関連記事

Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性 （CVE-2021-20837） を悪用した攻撃被害に関する対応メモ

Let's Encrypt で発行するサーバ証明書の暗号方式を RSA から ECDSA （楕円曲線 DSA） に変更する

Firefox 83 に 「HTTPS-Only モード」 が追加、Web サイトへの接続時、HTTPS 接続を強制可能に

パソコンやスマートフォンが得意ではないという人でもわかるオススメのパスワード管理方法（2020年10月版）

Google Chrome 77 が正式リリース、EV SSL 証明書に対するアドレスバーの組織名表示を廃止

全フィッシングサイトのうち、約半分は SSL で保護されている

Google Chrome 68 が正式リリース、SSL で保護されていないページに警告表示がスタート

Chrome における HTTPS 通信時の 「保護された通信」 表記廃止、非 SSL 接続時の警告表示の変更と適用開始時期が発表される

次期 Android では 「DNS over TLS」 がサポートされる

GitHub Pages、カスタムドメインでも HTTPS による接続が可能に

追記（2014-9-26 10:04）

追記（2014-9-28 11:39）

Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性（CVE-2021-20837）を悪用した攻撃被害に関する対応メモ

Let's Encrypt で発行するサーバ証明書の暗号方式を RSA から ECDSA （楕円曲線 DSA）に変更する

Firefox 83 に「HTTPS-Only モード」が追加、Web サイトへの接続時、HTTPS 接続を強制可能に

Chrome における HTTPS 通信時の「保護された通信」表記廃止、非 SSL 接続時の警告表示の変更と適用開始時期が発表される

次期 Android では「DNS over TLS」がサポートされる