合同会社ペンタラボ|PentaLab LLC.

MacやUNIX系OSをご利用の方はパッチを当ててください – bashの重要な脆弱性

Articles Popular

噂のAffinity Photoを少しだけ使ってみた!

噂のAffinity Photoを少しだけ使ってみた!

MacやUNIX系OSをご利用の方はパッチを当ててください – bashの重要な脆弱性

MacやUNIX系OSをご利用の方はパッチを当ててください – bashの重要な脆弱性

来年の手帳、「ジブン手帳」を買いました

来年の手帳、「ジブン手帳」を買いました

【インタビュー】株式会社想実企画小泉正信さん

【インタビュー】株式会社想実企画小泉正信さん

吉祥寺*Bloomの第1回交流会「創業に当たっての心構え&体験談」の講師をしました

吉祥寺*Bloomの第1回交流会「創業に当たっての心構え&体験談」の講師をしました

WEB業界でよく聞くビジネス用語集

WEB業界でよく聞くビジネス用語集

アップル発表会のまとめ20140909版

アップル発表会のまとめ20140909版

【インタビュー】Flower Essence Therapy Pono Pono 織田裕子さん

【インタビュー】Flower Essence Therapy Pono Pono 織田裕子さん

【インタビュー】キリンニジイロ 鈴木智哉さま

【インタビュー】キリンニジイロ 鈴木智哉さま

Google ChromeでPDFを開くとクラッシュしてしまう問題を回避する方法

Google ChromeでPDFを開くとクラッシュしてしまう問題を回避する方法


MacやUNIX系OSをご利用の方はパッチを当ててください – bashの重要な脆弱性

お久しぶりです。いつもとりとめのない長文を書いている杉本です。
今回は真面目なお話をしますので、いつもの前置きはなしで行きたいと思います。

9月24日、この記事を書いている前日に、「bash」と呼ばれるシェルに大きな脆弱性が発見されました。

「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開 – ITmedia エンタープライズ

この記事によりますと

関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。

この脆弱性は、多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。攻撃経路にはCGIスクリプトやOpenSSHが使用できるという。

とあり、専門用語がいろいろ書かれてますが、簡単にいうと悪意を持った何者かがネットワークを介してあなたのパソコンを操作できてしまう、ということになります。

bashとはなんぞや、という話はいずれ機会があればさせていただくとして、まずはこのパッチのお話です。

今現在UNIX系OS(あえてMacと明示的に分けておきます)をお持ちの方は、僕が知りうる限りお詳しい方が多いと思います。
bash標準のOS – CentOS,RHEL,Fedoraなど – では

[bash]
$ yum update bash
[/bash]

などで対応できますので、すぐにでも実行していただければと思います。

Macの場合もbashは標準で使われていますが、新しく入れなおすか修正パッチと呼ばれるものを当てることで改善されます。

Bash remote vulnerability – AlBlue’s Blog

この記事にはMac OSでbashへパッチを当てる際の方法や、脆弱性があるかを確かめる方法が書かれています。

この記事にあるパッチを当てる方法を元に少しだけ手を加えたものを使って、より簡単に当てることができるようにしましたので、もしよろしければご利用いただければと思います。

1. 「ターミナル」を起動します。
スクリーンショット 2014-09-25 17.27.39

2. 次のコードを貼り付けて、エンターキーを押します。

[bash]
mkdir bash-hotfix && cd bash-hotfix
curl https://raw.githubusercontent.com/sugizou/sample/master/shell/hotfix_20140925_bash.sh > patch.sh
sh ./patch.sh
cd ../ && rm -rf bash-hotfix
[/bash]

スクリーンショット 2014-09-25 19.48.20
途中パスワードを聞かれますが、管理者のパスワード、またはMacでログインする際のパスワードを入力してくだされば結構です。
また、パスワードが設定されてない場合はこちらをご覧ください。

スクリーンショット 2014-09-25 19.48.31

上記の画像のようになれば、パッチ当ては終了になります。

3. パッチが当たっているか確認するために、以下のコードを貼り付けて、エンターキーを押します。

[bash]
env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’
[/bash]

スクリーンショット 2014-09-25 18.04.46

このように

[bash]
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
[/bash]

と、エラーメッセージが出てくれば成功です。

今回の脆弱性は過去にあったOpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も – ITmedia エンタープライズのように、影響度の大きなものとなりますので、なるべく早くパッチを当てられることお勧めします。



Recommend Entry
是非、読んでもらいたい記事 ブログ一覧を見る

Recent Entry
最近書かれた記事