Simpline Blogシェルショッカーの恐怖

2014.10.03

悪いニュースは続くもので
4月の「Heartbleed」(OpenSSL脆弱性)に続き
「Shellshock」(bash脆弱性)が9月24日に発覚しました。

なかなか面倒なことになりました。
社内のサーバにパッチを当てなければいけないです。

さて、今回の脆弱性は以下に問題があったようです。
>bash は起動時に その時設定されている環境変数を読み込んでから処理を開始します
>通常は環境変数の値にコードが入っていても、明示的に実行しない限りは文字列として扱われる仕様になっています
>ですが、この部分の処理にバグがあり、bash 起動時の環境変数を読み込むタイミングで
>この文字列がコードとして実行されてしまう、というのが今回明らかになった問題点です
参考:http://moro-archive.hatenablog.com/entry/2014/09/27/200553

$ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”

以下の部分が実行されてしまったら、脆弱性ありですと。
「echo vulnerable」
さっそくテスト環境で試してみると、ばっちりでますね「vulnerable」。

 

では対策として、bashのパッチあてていきます。

AWSからパッチがリリースされているようでしたので、パッチをあてました。
——————————-
AWSのフォーラムより
Update to Amazon AMI for CVE(※1)-2014-6271

For Amazon Linux 2013.09
sudo yum install -y http://packages.us-east-1.amazonaws.com/2013.09/updates/556c442ced2f/x86_64/Packages/bash-4.1.2-15.18.20.amzn1.x86_64.rpm
For Amazon Linux 2014.03
sudo yum install -y http://packages.us-east-1.amazonaws.com/2014.03/updates/e10f5b547e18/x86_64/Packages/bash-4.1.2-15.19.amzn1.x86_64.rpm

参考:https://forums.aws.amazon.com/thread.jspa?messageID=571796&tstart=0
——————————-
でなくなりました。「vulnerable」
よかった。

 

でも、For Amazon Linux 2013.03以前については?
よく読むと以前のバージョンについては頑張って対応中だよ。との内容。

一先ず、publicなサーバについてはパッチをあて終わったので、
リリースを待つことに。

さらに調べていると、「CVE-2014-7169:CVE-2014-6271修正漏れによる脆弱性」
わー。修正漏れてる。

 

その後、Amazon Linux AMI Security Center(https://alas.aws.amazon.com/ALAS-2014-419.html)が更新されました。

For 2014.09 Amazon Linux AMIs, bash-4.1.2-15.21.amzn1 addresses both CVEs. Running yum clean all followed by yum update bash will install the fixed package.
For Amazon Linux AMIs “locked” to the 2014.03 repositories, bash-4.1.2-15.21.amzn1 also addresses both CVEs. Running yum clean all followed by yum update bash will install the fixed package.
For Amazon Linux AMIs “locked” to the 2013.09 or 2013.03 repositories, bash-4.1.2-15.18.22.amzn1 addresses both CVEs. Running yum clean all followed by yum update bash will install the fixed package.
For Amazon Linux AMIs “locked” to the 2012.09, 2012.03, or 2011.09 repositories, run yum clean all followed by yum –releasever=2013.03 update bash to install only the updated bash package.

yum clean all
yum –releasever=XXXX.XX update bash
しましょうと。はい、しましょう。
取り急ぎパッチをあてて、一安心。

※1:CVE(共通脆弱性識別子)番号

 

一覧

関連コンテンツ

DB設計(第1正規形)
  • 2014.10.17
  • エンジニアブログ

DB設計(第1正規形)

kickstartファイルにupdatesリポジトリを追加するとCentOS 6.6のインストールに失敗する
  • 2015.02.13
  • エンジニアブログ

kickstartファイルにupdatesリポジトリを追加するとCentOS…

バックアップ、災害対策に関するAWS導入事例
  • 2015.07.15
  • エンジニアブログ

バックアップ、災害対策に関するAWS導入事例

[AWS]セキュリティグループの上限の考え方を再確認する
  • 2017.01.28
  • エンジニアブログ

[AWS]セキュリティグループの上限の考え方を再確認する

年別アーカイブ

リンク

どうすればできるか、
とことん一緒に考えます。
まずはシンプラインにご相談ください。
TOP