bashに脆弱性が見つかる!

アウトレット特別特価

bash
#!/bin/bash

Unixを使ったことがある方は、北朝鮮のTVニュースの「スミダ」並に身近な「言葉」だと思います。

説明不要でしょうが、これはbashシェルを利用している場合のスクリプトを表す記述ですが、サーバの運用を行うに当たっては、これを利用したシェルスクリプトは、かなりの頻度で利用します。

さらに、Linuxなどで配布されるプログラムでも数多く利用されています。

さて、このbashに脆弱性が発見されたとのニュース。

この脆弱性は、環境変数を経由して関数定義を渡す場合に、細工をしてコマンドを実行させることができるとするものです。

これに対して、9/24にCVE-2014-6271に向けて修正パッチが出されましたが、これだけでは不十分で、CVE-2014-7169の対策が9/26時点で残されているとの事。

ITmedia エンタープライズの記事によると、

米セキュリティ機関US-CERTが9月25日に出したアラートによると、脆弱性はGNU Bash 1.14~4.3に存在し、CentOS、Debian、Mac OS X、Red Hat Enterprise Linux、Ubuntuなどが影響を受ける。24日に脆弱性(識別番号CVE-2014-6271)を修正するパッチが公開され、主要Linuxディストリビューションも更新版を公開した。ところがこのパッチでは、別の脆弱性(CVE-2014-7169)が解決されていないことが判明した。

事がbash絡みなので、場合によっては、「Heartbleed」と呼ばれたOpenSSLの脆弱性に匹敵する危険性もあるとの事です。

管理者の方は、関連の情報のご確認をおすすめします。
・関連
特別に作成された環境変数を使用した Bash コード挿入の脆弱性 (CVE-2014-6271) – Red Hat Customer Portal