Shellshock

Mon, 29 Sep 2014 11:50:30 +0900

US-CERTからBashのRemote Code Execution Vulnerabilityが警告されている。

JVNVU#97219505より

問題点はCVE-2014-6271とCVE-2014-7169の2件あり、Vulnerability Note VU#252743によると前者は

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

たったこれっぽっちのスクリプトで突けてしまう深刻な大穴らしいので、早急にアップデートしておきたい。

家庭用のブロードバンドルーターやWebカメラなど影響を受ける機器はサーバに限らないので、今後国内各社のステータスがJVNVU#97219505に列挙されると思うが、4～5月に発覚したHeartbleedに匹敵する騒動になりそうな。

【参照】
●ITpro http://itpro.nikkeibp.co.jp/news/
┣ITproまとめ - Heartbleed（心臓出血）
┣「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も 2014年9月26日
┗危なすぎるBashの脆弱性「Shellshock」、深刻な事態になる前に対策を： 2014年9月29日
●ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/
┣「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開 2014年9月25日
┣bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も 2014年9月26日
┗bashの脆弱性、追加の修正パッチも一部リリース 2014年9月26日
●INTERNET Watch http://internet.watch.impress.co.jp/
┣「bash」に危険度の高い脆弱性、修正パッチの適用と回避策の実施を 2014年9月25日
┗bashの脆弱性を狙う攻撃が発生、サーバー管理者は対策の実施を 2014年9月26日
●GNU http://www.gnu.org/
┗Bash
●Japan Vulnerability Notes http://jvn.jp/
┗JVNVU#97219505: GNU Bash に OS コマンドインジェクションの脆弱性 2014年9月27日
●US-CERT https://www.us-cert.gov/
┣GNU Bourne-Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271, CVE-2014-7169)
┗Bourne-Again Shell (Bash) Remote Code Execution Vulnerability 2014年9月24日
●CERT Knowledgebase http://www.kb.cert.org/
┗Vulnerability Note VU#252743 - GNU Bash shell executes commands in exported functions in environment variables 2014年9月27日
●National Vulnerability Database http://nvd.nist.gov/
┣CVE-2014-6271
┗CVE-2014-7169
●Wikipedia http://ja.wikipedia.org/wiki/
┣ハートブリード
┗Bash

2014/09/29 on Yano's digital garage

Shellshock