piyolog

bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた

脆弱性まとめ | 11:30 |

bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6721に関する情報をまとめます。

＃ひとまずリンク、Tweetのみです。

脆弱性情報

脆弱性の愛称

Shellshock

CVE番号

CVE	patch
CVE-2014-6271	BASH PATCH REPORT bash30-017 BASH PATCH REPORT bash31-018 BASH PATCH REPORT bash32-052 BASH PATCH REPORT bash40-039 BASH PATCH REPORT bash41-012 BASH PATCH REPORT bash42-048 BASH PATCH REPORT bash43-025
CVE-2014-7169	CVE-2014-6271に修正漏れがあった模様*1

影響を受けるバージョン

Bash 4.3 Patch 25 およびそれ以前

Bash 4.2 Patch 48 およびそれ以前

Bash 4.1 Patch 12 およびそれ以前

Bash 4.0 Patch 39 およびそれ以前

Bash 3.2 Patch 52 およびそれ以前

Bash 3.1 Patch 18 およびそれ以前

Bash 3.0 Patch 17 およびそれ以前

https://www.jpcert.or.jp/at/2014/at140037.html

注意喚起

• JPCERT/CC GNU bash の脆弱性に関する注意喚起

脆弱性検証コード

簡易チェック

以下のコマンドを実行して「vulnerable」が表示された場合、CVE-2014-6271の影響を受ける可能性がある。

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

• コマンドが実行できた場合に表示される内容

vulnerable

this is a test

• パッチ適用後に表示される内容

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for `x'

this is a test

Metasploit

• metasploit-framework / modules / auxiliary / scanner / http / apache_mod_cgi_bash_env.rb

ShellShockの探索行為が行われ始めている可能性

#shellshock の攻撃を検知しました。pingを特定IPアドレスに1発だけ打っているので、脆弱性のあるサイト/ページの検知が目的のようです

— 徳丸　浩 (@ockeghem) 2014, 9月 25

こんなログが。[http]のところは勝手に短縮URLになるとこまるので改変。 "shellshock-scan ([http]blog.erratasec. com/2014/09/bash-shellshock-scan-of-internet.html)"

— znrk (@znrk) 2014, 9月 25

各ベンダの関連情報

ディストリ	CVE-2014-6271	CVE-2014-7169	関連情報
RHEL	Fixed	?	Bug 1141597 - (CVE-2014-6271) CVE-2014-6271 bash: specially-crafted environment variables can be used to inject shell commands Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) Bash specially-crafted environment variables code injection attack
AWS	Fixed	?	CVE-2014-6271 Advisory ALAS-2014-418
Ubuntu	Fixed	?	USN-2362-1: Bash vulnerability Ubuntu Security Notice USN-2362-1
CentOS	Fixed	?	Critical update for bash released today.
SuSE	Fixed	?	CVE-2014-6271 Bug 896776
Debian	Fixed	?	Debian Security Advisory DSA-3032-1 bash -- security update
Gentoo	Fixed	Fixed	Bug 523592

「？」は対応済みか不明の箇所です。

各ディストリのデフォルトシェル

ディストリ	デフォルトシェル
Mac OSX	bash
RHEL	bash
CentOS	bash
Fedora	bash
Debian	sh(lenny) dash(Squeeze)
Ubuntu	dash
FreeBSD	tcsh
Android	sh

CVE-2014-6271 修正版バージョン

GNU Project

Bash 4.3 Patch 25

Bash 4.2 Patch 48

Bash 4.1 Patch 12

Bash 4.0 Patch 39

Bash 3.2 Patch 52

Bash 3.1 Patch 18

Bash 3.0 Patch 17

RHEL

bash-3.2-33.el5.1

bash-3.2-33.el5_11.1.sjis.1

bash-3.2-24.el5_6.1

bash-3.2-32.el5_9.2

bash-3.0-27.el4.2

bash-4.1.2-15.el6_5.1

bash-4.1.2-15.el6_5.1.sjis.1

bash-4.1.2-9.el6_2.1

bash-4.1.2-15.el6_4.1

https://access.redhat.com/articles/1200223

CentOS

bash-3.2-33.el5.1 (CentOS 5)

bash-4.1.2-15.el6_5.1 (CentOS 6)

bash-4.2.45-5.el7_0.2 (CentOS 7)

http://lists.centos.org/pipermail/centos/2014-September/146099.html

Ubuntu

4.1-2ubuntu3.1(Ubuntu 10.04 LTS)

4.2-2ubuntu2.2(Ubuntu 12.04 LTS)

4.3-7ubuntu1.1(Ubuntu 14.04 LTS)

http://www.ubuntu.com/usn/usn-2362-1/

Debian

4.3-9.1

4.1-3+deb6u1(DLA-59-1)

4.2+dfsg-0.1+deb7u1(DSA-3032-1)

https://security-tracker.debian.org/tracker/CVE-2014-6271

Gentoo

bash-3.1_p18-r1

bash-3.2_p52-r1

bash-4.0_p39-r1

bash-4.1_p12-r1

bash-4.2_p48-r1

https://bugs.gentoo.org/show_bug.cgi?id=CVE-2014-6271

SuSE Linux

bash-3.1-24.32.1

https://bugzilla.novell.com/show_bug.cgi?id=CVE-2014-6271

検証記事

• BASHの脆弱性でCGIスクリプトにアレさせてみました - ブログ - ワルブリックス株式会社
• 先程から騒ぎになっているbashの脆弱性について | 上田ブログ
• CVE-2014-6271に関する小ネタ - mt_caret.blog
• Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研
• Bash 脆弱性(2) CVE-2014-6271 / CVE-2014-7169 は何が危険で問題なのかを検証してみました。 – CLARA ONLINE techblog
• Bashの脆弱性CVE-2014-6271をOS X で修正する方法。
• 2014/09/24に発表されたBash脆弱性と解決法(RedHat系) - Qiita
• 【実行注意】MacOS用 bashの脆弱性の対策 updateできないよね？ (shellshock) - 器用貧乏の果てに

検証・関連Tweet

今回のbashの穴の影響範囲としては、環境変数に外部入力を突っ込んでたらアウトというもので、かなり広いです。例えばdhclientは環境変数を使って設定するので、悪意あるDHCPサーバーがクライアントに任意コードを実行させられるという...

— Haruka Iwao (@Yuryu) 2014, 9月 24

今回のbashの穴はですね... あなたのそのMac OS Xも影響を受けるんですよ。ﾋｨｨｨｲ / your Mac OS X is also affected from the bash security vulnerability

— Haruka Iwao (@Yuryu) 2014, 9月 24

bashの脆弱性について。「zsh使ってるからok」と書いてるのをみますが、自分のシェルがzshでも、システムの/bin/shはbashだったりする場合もあるので、とにかく更新しましょう！

— Haruka Iwao (@Yuryu) 2014, 9月 25

どうやってリモートで実行するんだろう？ https://t.co/HQCNxAwHgE

— kusanoさん@がんばらない (@kusano_k) 2014, 9月 24

@kusano_k ｷﾀﾜｧ.*･゜ﾟ･*:.｡..｡.:*･゜（n‘∀‘)ηﾟ･*:.｡. .｡.:*･゜ﾟ･*!!!!!☆ HTTP_ACCEPT_ENCODINGでいけた(･∀･)

— kusanoさん@がんばらない (@kusano_k) 2014, 9月 24

@kusano_k HTTP_USER_AGENTでもOK。echoは実行できるけど、他のコマンドだと固まって実行できない。何故だろう？

— kusanoさん@がんばらない (@kusano_k) 2014, 9月 24

@kusano_k 絶対パスならいけた。PATHには/binが含まれているのに何故？

— kusanoさん@がんばらない (@kusano_k) 2014, 9月 24

@kusano_k 他のコマンドも動きました＞＜ pic.twitter.com/4ssWtbAWJc

— mage(まげ) (@mage_1868) 2014, 9月 24

うええ。そうか…　cgiはリクエストヘッダを環境変数に置き換えてから実行する＝全ての（bashを経由する）cgiが影響受けるってことか。んじゃやっぱperlとかmod_cgiで呼び出してるphpとかみなだめじゃん。だめじゃん！

— Kiyoshi SATOH (@stealthinu) 2014, 9月 25

良くあるtest.cgi(GETパラメタを全て表示する奴)で簡単に実行できますよ、さらに/dev/tcpを使用してHTTPサーバから外部サーバへとちょっかいかけさせることができますよというPoCが既にありますた。

— 高梨陣平 (@jingbay) 2014, 9月 25

軽くレンサバでできたのでこりゃ大変

— yousukezan@もうすぐ無職 (@yousukezan) 2014, 9月 25

phpでもできたぴょん

— yousukezan@もうすぐ無職 (@yousukezan) 2014, 9月 25

pythonの方も軽く/etc/passwd見えたのでいやんもう

— yousukezan@もうすぐ無職 (@yousukezan) 2014, 9月 25

昨夜から話題のbashの脆弱性、CVE-2014-6271 を防ぐパッチはまだ不完全で、別の穴が。これには CVE-2014-7169 が割り当てられたっぽい。

— Takayuki KUSANO (@tkusano) 2014, 9月 25

更新履歴

• 2014/09/25 AM 新規作成
• しばらく適宜更新します

ツイートする