Unixに入ってるbashの脆弱性「shellshock」修正方法

皆さんこんにちは(*゚艸゚*) 今回はあまりよろしくないお話です(;´・ω・) 以前、OpenSSLのバグでheartbleedについて取り上げました。 ですが、heartbleedよりももっと深刻な脆弱性が見つかりました・・・

今回見つかった脆弱性は「bash」というUnix系列のOSに入っているシェルと言われるものにあります。bashはWindowsで言えばコマンドプロンプトみたいなものです。

その脆弱性には「shellshock」と名付けられ、今世界中のサーバー管理者を悩ませています(;´・ω・)

shellshockとは何ぞや?

shellshockは上でも説明した通り「bash」にある脆弱性のことで、これを悪用すると外部からパソコンを不正に操作することが可能になります。

bashの環境変数の処理に問題があり、加工した環境変数を受け取ると、そこに含まれているコマンドも実行してしまうという恐ろしい脆弱性です。

このbashはMacを含むUnix系列のOSに標準で入っているのが一番恐ろしいところで、この脆弱性は何年も前から存在していたようですブル(((_(‘ω’;」∠)))ブル

そして、これが恐れられているのが、Webサーバーです。WebサーバーでCGIが実行可能なWebサーバーだったら、CGIの処理をbashがやっている可能性が高いのです。

つまり、対策をしていないWebサーバーを乗っ取ることができるっていうことですねガクガク(((( ;゚Д゚))))ブルブル

自分のPCは対策済み・・・?

shellshockは以下のコマンドを実行することで見分けることができます。

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

対策されてない場合は、vulnerableと表示されます。もし、対策済みであった場合はvulnerableは表示されない、または以下のエラーが表示されます。

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for `x’

対策方法

対策方法は、OSによって異なります。

  • Ubuntu/Debian

すでにパッチが出ているのでbashを最新のものにアップデートしてください

sudo apt-get update
sudo apt-get upgrade bash
  •  RHEL/CentOS/Fedora

これもパッチが存在しているので最新のものにアップデートしてください

sudo yum update bash
  •  脱獄済みiPhone

iPhoneを脱獄すると自動的にbashも入ってくるので、CydiaからBourne-Again SHellを適用するだけで対策完了です(ノ∀`)

iPhoneの場合はそこまで影響がないそうです(;・∀・)

参考:http://tools4hack.santalab.me/fix-shellshock-bash-bourne-again-shell-v4040-14.html

  • Mac OSX

Macには標準には入っていないものの、XcodeやCommand Line Tools・Homebrew・MacPortでbashがインストールされます。

Homebrew・MacPortでインストールした場合は以下の方法でbashを更新できます。

Homebrew

brew update
brew upgrade bash

MacPort

sudo port self update
sudo port upgrade bash

XcodeやCommand Line Toolsから入れた場合は、Appleの公式なアップデートを待つのみです・・・

Appleを待ちきれない! という方は手動でパッチを適用することも可能みたいです(;・∀・) 下のリンクを参考にして行ってみてください(ノ∀`)

http://applech2.com/archives/41014500.html

*追加*

AppleからBashアップデートが配布開始されました!

まとめ

恐ろしいですね(;・∀・) 世界中のサーバーにインストールされているbashに脆弱性があり、それが外部からコマンドを実行できるものなんて…

以前のheartbleedだって相当騒がれたのに、今回はheartbleedを超える危険性があるからね・・・

私がこのニュースを知った時は鳥肌がたちましたよ・・・ サーバー管理者さんは急いで対策を!!

今回もグダグダとうぃんつ(@hack_info)がお届けしました(ノ∀`)

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください