Bash の環境変数の処理に問題があり、第三者が遠隔で任意のコードを実行できる脆弱性。Bash で書いたGCI スクリプトが設置されていると、致命的なことになるので、急いで Bash をアップデート。
ShellShock 脆弱性の影響範囲
今回の脆弱性の影響をうけるBash のバージョンです。
- Bash 4.3 Patch 25 以前
- Bash 4.2 Patch 48 以前
- Bash 4.1 Patch 12 以前
- Bash 4.0 Patch 39以前
- Bash 3.2 Patch 52 以前
- Bash 3.1 Patch 18 以前
- Bash 3.0 Patch 17 以前
2014年9月24・26日に発表されたBash の脆弱性
Bash specially-crafted environment variables code injection attack
ただ、Cygwin 環境だとBash 4.1.13でも脆弱性の影響を受けました。Cygwin 環境での対応について以下に対応方法をまとめてます。
https://ishihara.asia/cygwinのbash脆弱性shellshock対応.html
脆弱性の確認方法
今回の脆弱性の有無については
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
コマンドを実行して vulnerable が表示されなかったら問題ないです。正常なBash のバージョンでは、echo this is a test のみ表示されます。
Bash のアップデート方法 yum 版
yum が利用できる場合には
yum update bash
でさっくりBash をアップデート。
アップデート後、
rpm -q bash
でバージョンを確認。
アップデートすると、以下のバージョンが適応される(2014年9月26日現在)されます。
https://rhn.redhat.com/errata/RHSA-2014-1306.html
RedHat & CentOS 5系
bash-3.2-33.el5_10.4
RedHat & CentOS 6系
bash-4.1.2-15.el6_5.2
Bash のアップデート方法 rpm の取得
yum が利用できない場合にはRed Hat Network から該当のrpm を取得して対応。修正パッチについてはそれぞれのディストリビュータの対応状況を確認してください。
Red Hat, Inc
https://rhn.redhat.com/errata/RHSA-2014-1306.html
Centos Project
http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html
http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html
http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html
Debian Project
https://www.debian.org/security/2014/dsa-3035
Ubuntu
http://www.ubuntu.com/usn/usn-2363-2/
■参考
GNU bash の脆弱性に関する注意喚起 | JPCERT/CC
2014/09/24に発表されたBash脆弱性と解決法(RedHat系、9/26更新)
Bug 1146319 CVE-2014-7169 bash