bash脆弱性(2014/9/24公開)対応について
はじめに
AWSチームの鈴木です。
2014/9/24、多くのLinuxディストリビューションのシェルとして採用されている「bash」に関する、脆弱性の報告がありました。
「bash」に危険度の高い脆弱性、修正パッチの適用と回避策の実施を
AWSがEC2用として提供しているLinux OSイメージ(AMI)にも当脆弱性の影響が及びます。 当記事ではその対応方法についてまとめます。
対処方法
パッチ適用済みのパッケージがリリースされています。 パッケージ管理システム(yum, apt-getなど)を利用してアップデートを実施します。
Amazon Linux
公式情報
アップデート
$ sudo yum update bash
確認
$ rpm -qa | grep bash bash-4.1.2-15.21.amzn1.x86_64
バージョン固定環境の場合
ライブラリやミドルウェアのバージョンを固定する為に、AmazonLinuxのリリースバージョンを固定している場合、以下の操作で修正版のパッケージ導入が可能です。2014.03, 2013.09, 2013.03
$ sudo yum clean all $ sudo yum update bash
2012.09, 2012.03, 2011.09
$ sudo yum --releasever=2013.03 update bash
参考
Ubuntu
公式情報
USN-2363-2: Bash vulnerabilityアップデート
$ sudo apt-get update $ sudo apt-get install bash
確認
$ dpkg --list | grep "GNU Bourne Again SHell" ii bash 4.3-7ubuntu1.4 amd64 GNU Bourne Again SHell
まとめ
今回のbashの脆弱性については、既に攻撃事例も報告されています。
First Shellshock botnet attacks Akamai, US DoD networks
シェルスクリプトで書かれたCGIだけでなく、 各種フレームワークの外部コマンドとして実装されている機能(メール送信など)でも、 当脆弱性の影響が及ぶ可能性があります。 特に公開サーバに関しては早急な対応をおすすめします。