2014/09/26更新:
本日新たに公開された再修正版を適用するように、情報を更新しました。恐らく、24日のは暫定対応版で今回のリリースが正式対応版だと思います。緊急性については前回のレベルほど高くありません(が、前回の作業を行っていない場合は急ぎましょう)。
Bash使い(特にBashのCGIスクリプト書いてる人)は一刻を争うべき
上記サイトに概要が書いてありますが、何が一番ヤバいかと言えばBashで書いたCGIスクリプトを動かしているサーバーだと私は思います。
詳しくは書きませんが、**telnetコマンドで簡単に悪意のあるコードを仕込めました。**悪意あるコードが、rmコマンドだったりしたら。取り返しが付きません。
解決法(RedHat、CentOS等)
yumコマンドやrpmコマンドでパッケージ管理をしているRedHat系(CentOSも)での解決方法を記します。
情報源:
- Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux
- 2014/09/26追加情報
yumコマンドが使える場合
下記の2つのコマンドを実行すれば直せるそうです。
# yum update bash
この時、更新後のBashのバージョンが次項のrpmで行うための表に書いたバージョン以降になっていることを確認してください。(CentOSの場合。本家RedHatの場合はこちらから使用している製品のバージョンを確認)
また、2番目の/sbin/ldconfigに関しては、再起動ができないホスト向けの代替措置であり、できればシステム再起動が望ましいとのことのようです。
yumは使えないがrpmコマンドなら使える場合
既に修正済rpmパッケージが出ています。
下記は一応CentOS用のものであり、本家RedHat用のものはRed Hat Networkにログインして取得するようです。
| CPU\OS ver. | 5 | 6 | 7 |
|---|---|---|---|
| i386 | bash-3.2-33.el5_10.4.i386.rpm | bash-4.1.2-15.el6_5.2.i686.rpm | (なし) |
| x86_64 | bash-3.2-33.el5_10.4.x86_64.rpm | bash-4.1.2-15.el6_5.2.x86_64.rpm | bash-4.2.45-5.el7_0.4.x86_64.rpm |
運用している環境に該当するパッケージを取得して、下記のようにrpmしてすれば完了です。/sbin/ldconfig(ただし、これもldconfigよりはシステム再起動の方が望ましいでしょう)
# wget <上記のrpm>
# rpm -Uvh <上記のrpm>