参考
- Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研
- bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
- CGIでbash依存している場合まずいようですね。BASHの脆弱性でCGIスクリプトにアレさせてみました - ブログ - ワルブリックス株式会社
一括でcgiの1行目を確認する方法
find . -type f -name "*.cgi" -exec head -n 1 {} \; 2>/dev/null
で、/bin/shの実体が/bin/bashの場合、外部からの攻撃を受け兼ねない。
hoge.cgi
#!/bin/sh
echo 'hoge'
bashのアップデート
yum
yum update bash
pacman
pacman -Sy bash
脆弱性のチェック
AHO='() { baka; }; echo manuke' bash -c 'echo Hi'
と入力し、manukeが表示されたら脆弱性の対象。
macosx 10.9.5, centos, archlinuxにて対象を確認。
修正後の動作確認
$ AHO='() { baka; }; echo manuke' bash -c 'echo Hi'
bash: 警告: AHO: ignoring function definition attempt
bash: `AHO' の関数定義をインポート中にエラーが発生しました
Hi
こうでればOK。
レガシーシステムの場合
ls -l /bin/sh
を確認し、/bin/bashでなければOK。
/bin/bashの場合、
apt-get install dash
unlink /bin/sh && ln -s /bin/dash /bin/sh
すればよい。
CentOS4の場合
- vagrant - PackerでCentOS4.8のbox作った - Qiitaを使ってrpmを作ればよい。