WWW Watch

Bash の脆弱性が騒ぎになっていたのでアップデートした件

環境変数に仕込まれたコードを実行してしまう Bash の脆弱性に関して、Bash のアップデートをしたお話。

シェルスクリプトで書かれた CGI やシェル経由で外部コマンドを呼び出すようなコードを外部からアクセス可能なサーバに置いている場合には大変なことになりそうな Bash の脆弱性 (Shellshock って呼ばれてるみたいですね) が今朝から話題になっていました。

関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。

この脆弱性は、多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。攻撃経路にはCGIスクリプトやOpenSSHが使用できるという。

「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開 : ITmedia エンタープライズ から引用

ということで、悪用された場合はダメージでかいです。() { :;}; rm -rf / みたいなの注入されたら死......

RedHat、CentOS 共に今回の脆弱性に対応した Bash の最新版がリリースされていますので、アップデートをしておいた方がよいでしょう。

RedHat については下記、

CentOS については下記にそれぞれのバージョンごとの Bash 最新版のリストがあります。

アップデート自体は、yum コマンドが使えるなら

# yum update bash

で OK です。

その後、システムを再起動します (Red Hat サイトではこれを推奨)。サービス等の都合でシステムの再起動が難しい場合は、

# /sbin/ldconfig

して共有ライブラリの依存関係情報を更新しておきましょう。

追記 (2014-9-26 10:04)

下記のような情報もありますので、しばらくは注意が必要かもしれません。

Update: 2014-09-25 03:10 UTC

Red Hat has become aware that the patch for CVE-2014-6271 is incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169. See also Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux. Red Hat is working on patches in conjunction with the upstream developers as a critical priority.

Red Hat advises customers to upgrade to the version of Bash which contains the fix for CVE-2014-6271, and not wait for the patch which fixes CVE-2014-7169. CVE-2014-7169 is a less severe issue and patches for it are being worked on.

Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) : Red Hat Customer Portal から引用

「CVE-2014-6271 に対するパッチが不完全なので、新たに問題を CVE-2014-7169 に割り当てた。この問題に対するパッチは現在開発中。とはいえ、公開済みの CVE-2014-6271 に対するパッチは早急に適用しろ」

追記 (2014-9-28 11:39)

CVE-2014-7169 に対する修正パッチが各ディストリビュータより提供されています。可能な限り適用しましょう。

Red Hat

CentOS

Debian

Ubuntu

関連エントリー

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー