« Apple iCloud がハッキングされセレブ写真が流出 | トップページ | 三菱東京 UFJ 銀行をかたるフィッシング(2014/09/19) »

GNU bash に深刻な脆弱性 shellshock (CVE-2014-6271)

GNU bash に深刻な脆弱性 Shellshock  (CVE-2014-6271)

概要

2014年9月24日、Linuxや UNIX などの多くのOSで利用されている GNU bash シェルに深刻な脆弱性(CVE-2014-6271) が発見された。脆弱性を bash の環境変数の処理に問題があり、環境変数を細工することで、任意のコマンドが実行されてしまう可能性がある。この脆弱性は shellshock と呼ばれている。


影響を受けるバージョン

GNU bash 4.3 以下のバージョン


検証方法

  • 修正パッチが適用されているか確認する方法

$ rpm -q --changelog bash * 金  9月 26 2014 Ondrej Oprala

- 3.2-33.4 - CVE-2014-7169 - bypass patch bug   Related: #1146321 * 金  9月 26 2014 Ondrej Oprala

- 3.2-33.3 - CVE-2014-7169 - proper 3.2 backport - courtesy of Florian Weimer   Related: #1146321 * 金  9月 26 2014 Ondrej Oprala

- 3.2-33.2 - CVE-2014-7169   Resolves: #1146321

 

  • RedHat から提供されている shellshock の脆弱性があるか確認する方法

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

脆弱性がある場合は、下記のコマンドを実行すると「vulnerable」が表示される。


対策方法

各ベンダーから提供されているパッチを適用

参考URL

  • CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278 (bash脆弱性)のCentOS4用パッケージをビルドしてみた - Division By Zero
    http://divisionbyzero.hatenablog.jp/entry/2014/09/25/192030

    CentOS4 で bash shellshock パッチ済みパッケージを作る方法を解説している

« Apple iCloud がハッキングされセレブ写真が流出 | トップページ | 三菱東京 UFJ 銀行をかたるフィッシング(2014/09/19) »

セキュリティ事件、サイバー攻撃」カテゴリの記事

セキュリティ(Security)」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/503138/60391215

この記事へのトラックバック一覧です: GNU bash に深刻な脆弱性 shellshock (CVE-2014-6271):

« Apple iCloud がハッキングされセレブ写真が流出 | トップページ | 三菱東京 UFJ 銀行をかたるフィッシング(2014/09/19) »

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索