2014/09/24に発表されたBash脆弱性と解決法(RedHat系、9/26更新)

  • 189
    Like
  • 7
    Comment
More than 1 year has passed since last update.

2014/09/26更新:
本日新たに公開された再修正版を適用するように、情報を更新しました。恐らく、24日のは暫定対応版で今回のリリースが正式対応版だと思います。緊急性については前回のレベルほど高くありません(が、前回の作業を行っていない場合は急ぎましょう)。

Bash使い(特にBashのCGIスクリプト書いてる人)は一刻を争うべき

2014/09/24に発表されてたBash脆弱性

上記サイトに概要が書いてありますが、何が一番ヤバいかと言えばBashで書いたCGIスクリプトを動かしているサーバーだと私は思います。

詳しくは書きませんが、telnetコマンドで簡単に悪意のあるコードを仕込めました。悪意あるコードが、rmコマンドだったりしたら。取り返しが付きません。

解決法(RedHat、CentOS等)

yumコマンドやrpmコマンドでパッケージ管理をしているRedHat系(CentOSも)での解決方法を記します。

情報源:
1. Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux
2. 2014/09/26追加情報

yumコマンドが使える場合

下記の2つのコマンドを実行すれば直せるそうです。

# yum update bash

この時、更新後のBashのバージョンが次項のrpmで行うための表に書いたバージョン以降になっていることを確認してください。(CentOSの場合。本家RedHatの場合はこちらから使用している製品のバージョンを確認)

また、2番目の`/sbin/ldconfig`に関しては、再起動ができないホスト向けの代替措置であり、できればシステム再起動が望ましいとのことのようです。

yumは使えないがrpmコマンドなら使える場合

既に修正済rpmパッケージが出ています。

下記は一応CentOS用のものであり、本家RedHat用のものはRed Hat Networkにログインして取得するようです。

CPU\OS ver. 5 6 7
i386 bash-3.2-33.el5_10.4.i386.rpm bash-4.1.2-15.el6_5.2.i686.rpm (なし)
x86_64 bash-3.2-33.el5_10.4.x86_64.rpm bash-4.1.2-15.el6_5.2.x86_64.rpm bash-4.2.45-5.el7_0.4.x86_64.rpm

運用している環境に該当するパッケージを取得して、下記のようにrpmして/sbin/ldconfigすれば完了です。(ただし、これもldconfigよりはシステム再起動の方が望ましいでしょう)

# wget <上記のrpm>
# rpm -Uvh <上記のrpm>