ロイターやCNNなどのニュースでも広く報じられているように、スコットランドのソフトウェア 開発会社に勤めるITマネージャーのステファン・シャゼラス氏が、一般的に使用されているUnixシェル「bash」に壊滅的な可能性のあるバグを発見しました。このバグは「shell shock」と呼ばれ、Red Hat社はその深刻度を「catastrophic」と分類しています。また、サイバーセキュリティ企業のRapid7社は、このバグの深刻度を最大の「10」、悪用の複雑さを「低」と評価しており、これはハッカーにとって攻撃が比較的単純で容易であることを意味しています。
非営利団体 Freeソフトウェア Foundation が制作したbashは、Unix システムでよく使われるシェルのひとつです。Open iT アプリケーションは、バイナリやハードコードされたコマンドを実行するためにのみシェルを使用しており(Open iT は実際には独自のスクリプトにkshを使用しています)、外部からの攻撃に対してシステムが特に脆弱になることはありませんが、他のサービスやアプリケーションでは、ハッカーがこの脆弱性を利用してマシンやサーバーシステムを制御できるような環境変数を挿入できる可能性があります。
Red Hatは当初、この脆弱性を取り除くためのパッチ(CVE-2014-6271)を展開していました。しかし、このパッチは一部の技術系セキュリティ研究者によって「不完全」と判断されました。9月26日時点で、レッドハットはこの懸念に対応する新しいパッチ(CVE-2014-7169)を展開しました。
システムがシェルショックに対して脆弱であるかどうかを確認するために、Red Hat は以下のコマンドを実行することを推奨します。
$ env x=’ () { :;}; echo vulnerable’ bash –c “echo this is a test”
上記のコマンドで以下のように出力された場合
傷つきやすい
これはテストです
と表示されたら、そのシステムには脆弱なバージョンのbashがあることになります。一方、上記のコマンドの出力が次のようになれば、システムはシェルショックから解放されます。
bash: 警告: x: 関数定義の試みを無視する
bash: 'x'に対する関数定義のインポートエラー
これはテストです
システムのbashのバージョンに脆弱性があることが判明した場合、アップデートすることが重要です。脆弱性のあるシステムにパッチを当てるために、LinuxNewsProは以下のコマンドを推奨します。
CentOS、Fedora、Red Hatなどの場合。
$ yum -y update bash
DebianやUbuntuなどの場合。
$ sudo apt-get update && sudo apt-get install --only-upgrade bash
パッチを当てた後に診断テストを再度実行し、シェルショックバグの影響を受けていないことを確認してください。
ソース
https://access.redhat.com/articles/1200223
http://www.reuters.com/article/2014/09/24/us-cybersecurity-bash-idUSKCN0HJ2FQ20140924
http://money.cnn.com/2014/09/24/technology/security/bash-bug/index.html