Heartbleedよりも危険性高い、bash脆弱性「ShellShock」

ニュース
トップ

【レポート】

Heartbleedよりも危険性高い、bash脆弱性「ShellShock」

後藤大地  [2014/09/27]

Bash is the Bourne Again SHell

9月24日ごろから広く知られるようになったbashのセキュリティ脆弱性(通称ShellShock)を巡る報道が連日続いている。世界中のベンダやプロジェクト、コミュニティがこの脆弱性の検討を始めており、この問題は先のOpenSSLのセキュリティ脆弱性(通称Heartbleed)を超える可能性が出てきている。ShellShockは影響範囲が広すぎる上、まだこの問題が自分の使っているソフトウェアにも存在しているということに気がついていないユーザや開発者が多いという問題がある。

サービスを提供するサーバが環境変数を渡すまたは受け取る仕様になっているものは多い。プロセスはfork(2)システムコールで自身をコピーした時に環境変数を引き継ぐ。プロセスはfork(2)を繰り返していくことがあり、そのどこかのタイミングでbash(1)が実行されれば細工された環境変数経由で任意のコマンドが実行されることになる。当初はWebサーバとCGIに焦点があてられていたが、これは問題のほんの小さな側面に過ぎない。ssh(1)でのログインにも影響がでてくるし、環境変数を利用するサービスはほかにいくつもある。

多くのユーザを抱えるMac OS Xの/bin/shの実態はbashであり、Linuxディストリビューションの多くもbashを/bin/shに使っている。このため、/bin/shで動作しているように見えるシェルスクリプトも、実態がbashであればこのShellShockの影響を受ける。Linuxを対象としたシェルスクリプトはbashを前提としているものが多く、今回の影響を受ける可能性が高い。

さらに、環境変数が展開されたり実行されるタイミングを抽象度の高いプログラミング言語やツールを使っている場合にはすべて把握できていない可能性があり、開発者自身が自分の開発しているソフトウェアがこの影響を受けるかどうかわかっていないケースが想定される。ShellShockはHearbleed同様、長期に渡って脅威に利用されるセキュリティ脆弱性となる可能性が高く、今後さまざまな関連発表に注目するとともに、利用しているシステムやソフトウェアを常にモニタリングして問題の影響を受けていないかチェックしていく必要があるといえる。

関連したタグ


関連サイト

新着記事

転職ノウハウ

あなたの仕事適性診断
あなたの仕事適性診断

4つの診断で、自分の適性を見つめなおそう!

Heroes File ~挑戦者たち~
Heroes File ~挑戦者たち~

働くこと・挑戦し続けることへの思いを綴ったインタビュー

はじめての転職診断
はじめての転職診断

あなたにピッタリのアドバイスを読むことができます。

転職Q&A
転職Q&A

転職に必要な情報が収集できます

ドS美人面接官 vs モテたいエンジニア
ドS美人面接官 vs モテたいエンジニア

入室しようとしたら、マサカリ投げられちゃいました!?

特別企画

一覧

    人気記事

    一覧

    イチオシ記事

    新着記事

    【インタビュー】神木隆之介、"稲穂"に灯した瀬田宗次郎の魂「探究心の底がないひと時を味わえた」
    [10:00 9/28] エンタメ
    【連載】2015年卒採用戦線総括 第3回 内定枠1人分に対し応募学生は183人 - 採用時の選考回数・期間は短縮傾向に
    [10:00 9/28] キャリア
    腹筋と背筋を効果的に使う応用体幹トレーニング - 間違った筋トレを正す
    [10:00 9/28] ライフ
    【連載】一眼レフ初心者が猫撮影に挑む! 第4回 何のために猫の写真を撮るのか
    [09:32 9/28] ライフ
    御嶽山噴火で入山規制に引上げ、早朝より救助活動再開へ - 意識不明者も数名
    [09:03 9/28] 旅行

    特別企画

    一覧

      求人情報