◆ New Entries

Linuxがかなりヤバいらしい、「bash」シェルに重大な脆弱性

LinuxなどのUNIX系OSで標準的に使われているシェル「bash」に極めて重大な脆弱性が見つかり、9月24日に修正パッチが公開された。
攻撃者がbashにコマンドを送って任意のコードを実行できる可能性が指摘されており、米セキュリティ機関のSANS Internet Storm Centerなどはパッチ適用を急ぐよう呼び掛けている。

関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。
悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。

この脆弱性は、多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。攻撃経路にはCGIスクリプトやOpenSSHが使用できるという。
RedHatやDebianなどの主要Linuxディストリビューターは、この問題を修正するパッチをリリースした。

この脆弱性について解説したAkamaiのブログでは、対策として(1)bashを新しいバージョンに更新する、(2)bashを代替シェルに入れ替える、(3)変数サービスへのアクセスを制限する、(4)脆弱性のあるサービスへのインプットにフィルタをかける――などの方法を紹介している。


 
2 :
:2014/09/25(木) 13:41:09.19 ID:WnRgsvOG0
どうでもいいだろw

14 :
:2014/09/25(木) 13:50:06.31 ID:eCfzy2aS0
zshは?

5 :
:2014/09/25(木) 13:43:16.02 ID:HBb38VwU0
ヤバイ ←ヤバくない

11 :
:2014/09/25(木) 13:47:24.61 ID:s2zLXpck0
Webサーバに出すUAで管理が緩いのは全消しすら出来るのは怖い

16 :
:2014/09/25(木) 13:51:46.35 ID:cI2bocul0
ケンモメンが騒いでないって事は結構深刻な事態くさいな

18 :
:2014/09/25(木) 13:51:54.92 ID:thMKTNlC0
これはあかん

19 :
:2014/09/25(木) 13:51:58.08 ID:qw0/9dmZi
パッチの出ない古いMac終了のお知らせか

30 :
:2014/09/25(木) 13:58:39.53 ID:0Bn4oBrd0
マジでw こんなことあるんだな

35 :
:2014/09/25(木) 14:01:50.63 ID:ZbjhBLV40
zsh最強伝説

37 :
:2014/09/25(木) 14:02:26.53 ID:Dy/OWflR0
現実問題外部にシェルにアクセスさせる経路なん晒さんだろ
あるとすれはそれは既にセキュリティーホール


44 :
:2014/09/25(木) 14:06:49.10 ID:w/Dh6a4y0
これはwebサーバには当てないとまずいかな。
いったい何台あるんだろう・・・


50 :
:2014/09/25(木) 14:10:09.94 ID:8vERn83z0
しかしこのセキュリティホールに気がついた人はすごいな
こういう人をハッカーというんだろう


55 :
:2014/09/25(木) 14:22:25.41 ID:5IUQp4nH0
侵入し放題だなこれ

アップデートしないやつなんていくらでも居るから


56 :
:2014/09/25(木) 14:24:16.87 ID:qONBTDNF0
ルーターとかどうすんのよ

60 :
:2014/09/25(木) 14:36:16.46 ID:q9WTVb5Y0
バスカッシャーは死に絶えたか

87 :
:2014/09/25(木) 17:48:06.77 ID:YN71k38f0
cgiが駄目じゃどうしようもないんじゃ・・・
#!/usr/bin/なんとか
系は全滅なんでしょ?


105 :
:2014/09/25(木) 19:11:08.83 ID:7DWgsPhx0
危険なのはmod_cgiでphp動かしてる場合

107 :
:2014/09/25(木) 19:12:05.16 ID:Y+j8XIb30
とはいえ叩けるようなところまで来てたら、この脆弱性とかわりとどうでもいい感

120 :
:2014/09/25(木) 19:48:47.74 ID:HzVB1vl70
マジで死ぬ。
しかもまともな対策取れねーし、やられたがどうか過去ログ終える次元じゃねーし。


122 :
:2014/09/25(木) 19:51:02.60 ID:TlfFB7EM0
今アップデートしてるから、専ブラは使いたくない
久しぶりに2ちゃんねるのサイトを見たw


123 :
:2014/09/25(木) 19:54:53.40 ID:Qeh7hJ8P0
普段から偉そうな会社の自称SE()セキュリティー担当()はどうするんだろうw

164 :
:2014/09/25(木) 21:40:50.81 ID:oM8T22fPi
環境変数を受け継ぐことも必要条件なんでしょ?
mod_phpはCGI的な環境変数作るの?


170 :
:2014/09/25(木) 21:45:41.45 ID:HqkSVee60
いたずらしたい人が、今一生懸命総当たりしてるんだろうな
会社のサーバが面白いことにならないことを祈ろう


175 :
:2014/09/25(木) 21:50:38.66 ID:Mx7JmxW/0
これ簡単すぎてヤバイだろ…

180 :
:2014/09/25(木) 21:59:47.19 ID:L2RcW2/O0
よくわからんけどsshから攻撃されるとしたら不味くね?

187 :
:2014/09/25(木) 22:26:12.26 ID:UHJWJvsii
スラッシュドットだとこの話題よりもアニメの方が盛り上がってるな
本当にクズの集まりだわあそこ。「ギーク」って響きで集まって帰属意識持ってガチンコで気取ってる分チョンモー以下かもしれん


189 :
:2014/09/25(木) 22:29:06.90 ID:rXgDhIFO0
どうもcgiを外に向けてるサーバーをスキャンして教えてくれてる奴がいるらしいよ。
致命的過ぎるからか


202 :
:2014/09/25(木) 22:53:10.17 ID:/OlhBdLS0
ここまで簡単な脆弱性だと、今から対策しても手遅れだろうな
俺が侵入とかを商売にしてる立場だったらとっくに世界中で踏み台確保してるわ


206 :
:2014/09/25(木) 22:57:11.76 ID:+t9rWNo40
企業は大変だね
俺も他人事じゃないけど


208 :
:2014/09/25(木) 22:58:03.21 ID:/je2+7Yii
これ話題になってるけど何が何やら分からん
やっぱプログラマーって凄いな


227 :
:2014/09/26(金) 00:15:01.64 ID:dXQ6qXBB0
ここに書いてあることがさっぱり分からない
どうしたらこういうのに詳しくなれるの?


236 :
:2014/09/26(金) 01:07:17.46 ID:+ZtszHy30
この前のハートブリードとかいうのとどっちがヤバいの?

242 :
:2014/09/26(金) 01:34:26.39 ID:WEgnt6/m0
何にせよこれで環境変数に対するサニタイジング手法と
穴を狙った超絶アクロバティック技法が磨かれることになる

不特定多数が勝手に送りつけてくる文字列を権限持ったシェルが読み取るなんて
よく考えてみればマジキチな状況だしな


245 :
:2014/09/26(金) 01:38:30.05 ID:Hq8xwcB50
あ、意外とヤバいなこれ
知らん間に色々仕込まれてそう


246 :
:2014/09/26(金) 01:39:35.88 ID:HOm6M6VX0
そもそも環境変数で関数定義するってどういう時に使うの

250 :
:2014/09/26(金) 01:49:04.07 ID:nP0Rh44S0
Bシェルでいいだろ

256 :
:2014/09/26(金) 03:50:46.68 ID:BYvt0LdK0
バージョンいくつならセーフなんだ

267 :
:2014/09/26(金) 06:55:36.30 ID:p/mPaHMr0
せんとくんだからzshですし・・・。
誰が困るのこれ?


268 :
:2014/09/26(金) 07:02:14.27 ID:NrjVR8Af0
>>267
せんとくん上で動かしてるサービスは/bin/sh使ってんじゃないの?


274 :
:2014/09/26(金) 09:00:53.08 ID:breEWeBl0
単純にアップデートできないな
シェル動かなくなる可能性あるし


275 :
:2014/09/26(金) 09:17:40.56 ID:gxKFnb1B0
さりげなくジムがおってわろた

278 :
:2014/09/26(金) 09:30:49.94 ID:r5uKaSL2i
LFSで緊急用のブートCDを作っとけば問題ないだろ

関連記事

コメント

※自動フィルタが有効なので、禁止ワードが入ってるコメントは投稿できません…
※その禁止ワードは何か?管理人にもわかりません。FC2に聞いてください。
お名前
テキスト

トラックバック

トラックバックURL: https://newskenm.blog.2nt.com/tb.php/24914-8ccaab70