2014年09月27日

【まぢか・・・】CVE-2014-6271 ShellShock !!

息子と一緒にキョウリュウジャーのおもちゃを見ていた所、
息子のお勧めはザクトル。

なにゆえ、これなんだ?ジャンボです。


話題になっていますね・・・ShellShock (CVE-2014-6271)

Heartbleed」に引き続き、
影響範囲が広く、危険性も高くて、
正直、勘弁してくれ〜な脆弱性ですね。

少なくとも、RHELやCentOSでは、パッチ対応済みのバージョンが公開されているので、
それを充てれば大丈夫でしょうか。

組み込み式Linuxとか、
銀行系とかまぢでどうするんだろ・・・。

とりあえず、身近なPCで対応をしてみたのですが、
色々なサイトで、既存バージョンの確認方法で

 # /bin/bash --version

のコマンドが挙げられているのですが、
RHELやCentOSは個別に作られたパッケージのせいなのか、
パッチを充てた後も上記ではバージョン表記が変わりませんでした。

 # rpm -qa bash

で確認した方が良さそうです。

あと、パッチを充てた後の動作確認で

 $ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 hello

が良く挙げられているのですが、
9/26にリリースされたバージョンを充てると、

 $ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
 hello

と出て、warning 表記は少なくともウチのマシンでは出ませんでした。
(9/24 リリース分を充てた時は warning 表記が出た)

あくまで、確認ポイントは「echo vulnerable」が実行されない事。
なので、上記を注意しないと、動作検証時に更にパニックになりそうです。


(´Д`;)うえぇぇぇぇ・・・・。


posted by ジャンボ at 00:00| Comment(0) | TrackBack(0) | 雑記:PC | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック