【UNIX終了のお知らせ】 bashに重大な脆弱性、4月に問題になったHeartbleed越えの可能性も

コメント (15)   2014年09月25日 21:14   テクノロジー ニュース  Heartbleed越え 脆弱性 UNIX終了 bash お知らせ






多くのUNIXおよびLinuxのユーザーに利用されている「Bourne Again SHell(Bash)」に重大なセキュリティホールが発見された。このセキュリティホールはBashによる環境変数の評価方法に起因している。
ハッカーは特別に作成した変数を用いてセキュリティホールを突き、シェルコマンドを実行できる。これによりサーバはさらなる本格的な攻撃に対して脆弱な状態となる。

数ある他のセキュリティホールと同様に、今回のセキュリティホールも悪用するには高レベルのアクセス権が必要だ。しかしRed Hatのセキュリティチームによると、ハッカーは特定のサービスやアプリケーションを経由することで、認証なしにリモートから環境変数を入力し、セキュリティホールを悪用できるという。
ルート権限(スーパーユーザー権限)でスクリプトを呼び出すアプリケーションをハッカーに悪用されると、サーバに破壊的な損害を引き起こされる可能性がある。

Bashがシステムシェルとして広く普及していることが、今回の問題を深刻化させる要因となっている。
アプリケーションがHTTPやCGIを通じて、ユーザーがデータを挿入できる形でBashシェルコマンドを呼び出すと、そのウェブサーバは攻撃に対して脆弱な状態となる。Akamai TechnologiesのチーフセキュリティオフィサーであるAndy Ellis氏によれば、ユーザー入力を評価してシェル経由で別のアプリケーションを呼び出すタイプのアプリケーションは、今回発見されたセキュリティホールの影響を受ける可能性があるという。

このセキュリティホールを抜本的に解決するには、脆弱性のあるBashを新しい安全なバージョンに置換する必要がある。米国時間9月24日朝の時点で、Bashの開発元からすべての現行バージョンをアップデートするパッチがリリースされている。また、DebianとRed Hatはパッケージ化されたパッチを公開している。
ディストリビューターからのパッチを待たず、アプリケーションに対する危険な入力を排除したり、シェルを呼び出す古いCGIスクリプトを無効化して新しいスクリプトに置換したり、Bash自体を別のシェルに置換するなどの回避策を実施することも重要だ。

ソース:
http://japan.cnet.com/news/service/35054245/

関連ソース:
「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開 | ITmedia
http://www.itmedia.co.jp/enterprise/articles/1409/25/news042.html
New 'Bash' software bug may pose bigger threat than 'Heartbleed' | Reuters
http://www.reuters.com/article/2014/09/24/us-cybersecurity-bash-idUSKCN0HJ2FQ20140924

基本ソフト(OS)Linux(リナックス)上で広く使われているソフトウエア「bash」に、新しくセキュリティー上のバグがあることが分かった。専門家らが24日警告した。4月に発覚したオンラインのデータ暗号化ソフトのバグ「ハートブリード」より大きな被害を引き起こす危険性があるという。

http://jp.reuters.com/article/technologyNews/idJPKCN0HK06020140925






Share on Google+
3 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 11:36:38.90 ID:6bSOobBc0.net
Linuxってパッチあてることに関心のない奴多そう

4 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 11:39:28.65 ID:8RMzXIRE0.net
>>3
逆にバシバシあてる

21 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 12:08:50.51 ID:1n76YkLq0.net
>>4
その面倒さを知らないまま、いろんな環境入れまくって自慢する奴がいるのも現実

77 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:29:53.29 ID:hEV0i3K70.net
>>3
いや、ほとんどのLinuxディストリビューションで、
ほとんどのソフトウェアが単一のアップデートマネージャで管理されてるから、
意識せずとも全てがどんどん更新されていく。
Windowsだと、アップデートの管理がソフトウェアごとに違ったりするので、
全てを最新版に維持するのは非常に大変。時間も手間もかかる。Mac OS Xも同様。
この辺、Linuxやスマートフォンは良く出来てる。
WindowsやMac OS Xでもアップデート管理を単一化すべきだった。

5 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 11:42:58.19 ID:uJe/1f0Q0.net
バスターランチャー使う青い機体の奴か

64 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 15:40:46.48 ID:TlYWQEF/0.net
>>5
エルガイム懐かしいな

9 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 11:48:41.02 ID:3BnlHN0V0.net

別にbashにセキュリティホールがあろうとなかろうとユーザー入力をそのまま評価してシェルに渡すようなWebアプリケーションは危険だよな

10 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 11:53:58.69 ID:6g4DXlJJ0.net

今日のアップデートがそれだったか。
Linuxは速いね。

12 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 11:55:41.52 ID:zyMWOaOt0.net

結構やばいニュースだけど、実行ファイルを差し替えれば終わり?

15 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 11:58:01.32 ID:KTLl/3fi0.net
相変わらずlinuxはバグだらけだな
みんなWindowsサーバーに逃げちゃったよ

18 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 12:03:42.24 ID:ThOy9ln40.net
>>15
Windowsはバグ連発どころか
つい最近、Windows UpdateでOS起動できなくなるウイルスばら撒いたやんけw

22 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 12:11:33.30 ID:LYL4mcxYO.net
LinuxじゃなくてBashの脆弱性だろ。
俺はNetBSDだがBash使ってる。

26 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 12:15:04.90 ID:YGAwPJSZ0.net
>>22
linux使ってますがbashっていつ使うんでしょうか。

31 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 12:19:40.66 ID:LYL4mcxYO.net
>>26
風呂で股間を洗うとき

38 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 12:28:17.82 ID:C1YgIU0Gi.net

やばくね?
てか、bashのようなデファクトな基本シェルにバグなんか出んのか・・・

46 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 12:51:58.54 ID:X8x5ImE00.net
今、
sudo apt-get update
sudo apt-get upgrade
したら、bashが更新された。

個人PCならお気楽に更新できるけど、サーバーとかだと色々面倒臭いかもな。

65 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 15:44:32.28 ID:RSESlayz0.net
>>46
重大な部分だものな。場合によっては自作シェルが動かなくなるかもしれんし。
とはいえ既知のセキュリティホールを放置もできん。

51 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 13:31:49.97 ID:RUFsvvJS0.net
とりあえず5台のサーバを yum update して回った。再起動とかは特にいらないよね。

52 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 13:39:23.98 ID:Yo+GPTVT0.net
>>51
Red Hat系なら
ttps://access.redhat.com/solutions/1207723
再起動できるなら再起動するのが安全で、できないなら/sbin/ldconfigを実行するのかな。

56 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 14:11:49.09 ID:EYOJ/Mfc0.net

macの10.6.8の俺はどうすればいいんだ…(´・ω・`)

74 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:20:40.90 ID:U6E2NkBy0.net

cgiの中で外部コマンド呼んでるだけでも該当みたいだな。
ディスク容量を示すレンタル鯖のcgiとか、そういう作りにしがちかも
アップローダーやWebメールなんかもあるかもな。

ググれば手口の解説でてくんな 手口が公のもとになった今、凄腕ハッカーでなくてもこれ、やりたい放題やん
串かますとか、チマチマした事しないで、ログでIPバレない様にログごと消しちゃえばええやんw rm -rf / とか最後に入れて。

これ結構デカい穴だぞ

75 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:27:01.10 ID:ZEhMm5bU0.net

うお
随分枯れたシェルがやらかしたな

78 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:31:21.38 ID:aFXY9cX40.net
ちょ、User-Agentとかちょっとヘッダーいじってリクエストするだけで
ヤバイコマンドが実行し放題なの?マジかよ
rm -rf /とかされまくりじゃないの?

79 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:33:38.07 ID:ba6MtFSG0.net
>>78
web server用のユーザのログインシェルをdashとかにしてない奴が悪い。

80 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:38:05.95 ID:bSfIo6pn0.net
実際、webサーバー以外では問題にはならんでしょ。
すぐに対応が必要な人は可哀想だが。

83 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:43:49.63 ID:eb5/jl4p0.net
>>80
シェルログイン許可してるサービス(有料or学術系)なんかは
シェルサービス一時停止かねー

84 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:49:19.09 ID:ba6MtFSG0.net
>>83
いやこれは上位アクセス権限を奪われる穴じゃないのでそういう処置は必要ない。
アクセス権限通りのスクリプトしか実行できない。

87 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:50:39.69 ID:eb5/jl4p0.net
>>84
あーなるほど
sudo的振る舞いするcgi系があかんのか

88 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 16:51:55.11 ID:ba6MtFSG0.net
>>87
web serverをrootで動かしてるところもあるしなw

116 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 20:26:51.44 ID:/+PoDJWK0.net
>>84
調べたらルート権限でスクリプト呼び出すアプリケーションとか迂回路使ってルート権限奪取される可能性高いみたい。
全権奪われる可能性ある脆弱性だわこれ。

110 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 20:05:52.62 ID:/+PoDJWK0.net
>>84
つまり外部からアクセスするユーザの実行権限レベルのシェルコマンドしか実行できないと
であればまともなwebサーバとかなら普通は外部からのSSHとかでrootの直アクセス許可とかしてないだろうし
とりあえず全権奪取される心配はないか

106 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 19:59:24.96 ID:U6E2NkByI.net

Webサーバー立ててない人は関係ないよ

113 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 20:14:24.19 ID:Q/InaZLv0.net
いまさらunixはめんどくせー
あとはまかせた

115 名無しさん@0新周年@\(^o^)/ :2014/09/25(木) 20:18:21.83 ID:X8x5ImE00.net
>>113
むしろ、今ならリナックスも簡単なのに。
いや別に無理には薦めないが。

4コアCPUとか、メモリ16GBとか載ってるなら、
バーチャルボックスにウブントゥかミントを入れて遊んでみるとか。
慣れてきたら脱ウィンドウズもできるし。
いや別に無理には薦めないが。




■編集元:http://ai.2ch.sc/test/read.cgi/newsplus/1411612522/