Bash の脆弱性(ShellShock)。CentOS、RedHat での対処方法 yum update bash

Bash ショック
Bash の環境変数の処理に問題があり、第三者が遠隔で任意のコードを実行できる脆弱性。Bash で書いたGCI スクリプトが設置されていると、致命的なことになるので、急いで Bash をアップデート。

ShellShock 脆弱性の影響範囲

今回の脆弱性の影響をうけるBash のバージョンです。

  • Bash 4.3 Patch 25 以前
  • Bash 4.2 Patch 48 以前
  • Bash 4.1 Patch 12 以前
  • Bash 4.0 Patch 39以前
  • Bash 3.2 Patch 52 以前
  • Bash 3.1 Patch 18 以前
  • Bash 3.0 Patch 17 以前

2014年9月24・26日に発表されたBash の脆弱性
Bash specially-crafted environment variables code injection attack

ただ、Cygwin 環境だとBash 4.1.13でも脆弱性の影響を受けました。Cygwin 環境での対応について以下に対応方法をまとめてます。
http://ishihara.asia/cygwinのbash脆弱性shellshock対応.html

脆弱性の確認方法

今回の脆弱性の有無については

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

コマンドを実行して vulnerable が表示されなかったら問題ないです。正常なBash のバージョンでは、echo this is a test のみ表示されます。

Bash のアップデート方法 yum 版

yum が利用できる場合には

yum update bash

でさっくりBash をアップデート。

アップデート後、

rpm -q bash

でバージョンを確認。

アップデートすると、以下のバージョンが適応される(2014年9月26日現在)されます。
https://rhn.redhat.com/errata/RHSA-2014-1306.html
RedHat & CentOS 5系
bash-3.2-33.el5_10.4

RedHat & CentOS 6系
bash-4.1.2-15.el6_5.2

Bash のアップデート方法 rpm の取得

yum が利用できない場合にはRed Hat Network から該当のrpm を取得して対応。修正パッチについてはそれぞれのディストリビュータの対応状況を確認してください。

Red Hat, Inc
https://rhn.redhat.com/errata/RHSA-2014-1306.html

Centos Project
http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html
http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html
http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html

Debian Project
https://www.debian.org/security/2014/dsa-3035

Ubuntu
http://www.ubuntu.com/usn/usn-2363-2/

■参考
GNU bash の脆弱性に関する注意喚起 | JPCERT/CC
2014/09/24に発表されたBash脆弱性と解決法(RedHat系、9/26更新)
Bug 1146319 CVE-2014-7169 bash

タイのバンコクでプログラミングしてます。嫁と猫がいつも一緒です。週末にはビーチに行って海をみてます。生涯現役の技術者を目指して、色々と調べてブログにかいてます