[重要]bashにて脆弱性(shellshock)

今年は、Linux関連で大きい脆弱性が報告されすぎだと思うのは私だけだろうか。

さて、久々に記事を更新した理由は表題にある通り、bashにて重大な脆弱性(「CVE-2014-6271」)が報告されたからだ。
余談だが影響範囲は以前opensslであった脆弱性より大きいとのこと。
サーバ管理者にはこれまた負担の大きい脆弱性だ・・・

ちなみに私が所有しているサーバの内は検証用とCentOS4系を除いてすべてアップデートしました。
なぜ、検証用はしなかったってこの記事のため、CentOS4系はサポート終了していてyumでアップデート出来なかったからだ。 ←俗に言うサポート切れ

一部ですが、私の検証内容は以下の通りです。(centos6系)

■検証とアップデート作業
1.sshやtelnet、コンソールでlinuxへ接続し、bashを使えるようにする
通常ではログイン後のシェルがbashになっていることがほとんど

2.rpmパッケージ(yumインストールの場合もこれでOK)でインストールされているもののバージョンを確認

3.(ここからが重要)脆弱性確認用コマンドを実行

さて、「vulnerable」という文字が表示されたでしょうか
表示された方はもれなく、脆弱性の対象です。
※「vulnerable」という文字が表示されなければ、一安心です。

4.「vulnerable」という文字が表示された方はbashのアップデートが可能か確認

5.bashのアップデートが可能ならアップデートを実施

6.bashのアップデートが終われば、再度脆弱性確認用コマンドを実行してみる

「vulnerable」という文字が表示されなくなっていればOK

■余談
今回の脆弱性では、bash(shも含む)スクリプトであるシェルスクリプトでも影響があります。
そのため、シェルスクリプトをCGIスクリプトとして実行しているあなた、既に攻撃を食らっている可能性があります。
当ブログのアクセスログにも「”() { :; }; ping -c 11 WWW.XXX.YYY.ZZZ”」というログが残っておりました。
※PING先のIPアドレスは伏せております。
恐らくPING(ICMPのパケット)が相手先に現れれば、脆弱性対象というスキャンをしていたのでしょう。

centos4系はどうするか、ソースからコンパイル?

■参考サイト
http://d.hatena.ne.jp/Kango/20140925/1411612246
https://access.redhat.com/ja/node/1210893
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html#.VCX1Pmd_srU
http://www.ne.jp/asahi/hishidama/home/tech/unix/vulnerability/bash_shellshock.html#h_confirm