Shellshock

US-CERTからBashのRemote Code Execution Vulnerabilityが警告されている。

問題点はCVE-2014-6271とCVE-2014-7169の2件あり、Vulnerability Note VU#252743によると前者は

env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test”

たったこれっぽっちのスクリプトで突けてしまう深刻な大穴らしいので、早急にアップデートしておきたい。

家庭用のブロードバンドルーターやWebカメラなど影響を受ける機器はサーバに限らないので、今後国内各社のステータスがJVNVU#97219505に列挙されると思うが、4～5月に発覚したHeartbleedに匹敵する騒動になりそうな。

参照

ITpro http://itpro.nikkeibp.co.jp/news/

• ITproまとめ - Heartbleed（心臓出血）
• 「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も 2014年9月26日
• 危なすぎるBashの脆弱性「Shellshock」、深刻な事態になる前に対策を： 2014年9月29日

ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/

• 「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開 2014年9月25日
• bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も 2014年9月26日
• bashの脆弱性、追加の修正パッチも一部リリース 2014年9月26日

INTERNET Watch http://internet.watch.impress.co.jp/

• 「bash」に危険度の高い脆弱性、修正パッチの適用と回避策の実施を 2014年9月25日
• bashの脆弱性を狙う攻撃が発生、サーバー管理者は対策の実施を 2014年9月26日

GNU http://www.gnu.org/

• Bash

Japan Vulnerability Notes http://jvn.jp/

• JVNVU#97219505: GNU Bash に OS コマンドインジェクションの脆弱性 2014年9月27日

US-CERT https://www.us-cert.gov/

• GNU Bourne-Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271, CVE-2014-7169)
• Bourne-Again Shell (Bash) Remote Code Execution Vulnerability 2014年9月24日

CERT Knowledgebase http://www.kb.cert.org/

• Vulnerability Note VU#252743 - GNU Bash shell executes commands in exported functions in environment variables 2014年9月27日

National Vulnerability Database http://nvd.nist.gov/

• CVE-2014-6271
• CVE-2014-7169

Wikipedia http://ja.wikipedia.org/wiki/

• ハートブリード
• Bash