ウェブアプリにおけるBash脆弱性の即死条件 #ShellShock - めもおきば

条件1. /bin/shの実体がbashのディストリビューション RHEL CentOS Scientific Linux Fedora Amazon Linux openSUSE Arch Linux (自ら設定した場合: Debian, Ubuntu) 条件2. 動作環境 CGI (レンタルサーバでありがちなCGIモードのPHP等も含む) Passenger(Ruby) 条件3. プログラム内容 Passengerは全死亡 *1 systemや `command`、 '| /usr/lib/sendmail' などで外部コマンド実行 *2 PHPのmailやmb_send_mail、その他フレームワーク等を介したメール送信 *3 以下は条件1が不要 明示的にbashを呼ぶ 先頭で #!/bin/bash や #!/usr/bin/env bash しているプログラムを実行 (rbenv

[circled]

こういう情報大事だが、さっさとbash更新する方がもっと大事

[betelgeuse]

そろそろ過去の脆弱性情報を抱えてタイムトリップする小説ヒーローが出てきそうだけど、もういるのだろうか

[mizchi]

Passengerで一発当てるぞ！！！！

[mitsuru888]

やはり /bin/sh と /bin/bash は別であるべきだと思う

[azumi_s]

今日必死に対応したよ…。週明けもしばらく潰れるよ…

[zakinco]

うわぁ。これは非常にヤバイ。

[yyamano]

はてぶのコメントみないと、さっぱりわからない。

[rryu]

PassengerLoadShellEnvvarsがONだとワーカーをシェル経由で起動するので即死ということらしい。そしてデフォルトはON……

[Kwappa]

「Passengerは全死亡」😱

[s_mori]

Shellshock

[graceful_life]

このくらい書かないと動くに動けないという

[ktakemoto]

中身がさっぱりないな

[monomoti]

サーバは全部対応したけど...

[shioki]

Rails+Passengerとか大丈夫か?“Passengerは、デフォルトでRAILS_ROOT/config/environment.rbのファイル所有者の権限で実行されるため、一般的なインストール状況であればpublic以下にファイルを置いたり等なんでもできます”

[papiro]

bash脆弱性関係あるのか・・・

[minoru0707]

なんかやばそうな感じはわかってきた。

[daybeforeyesterday]

うーむ

[gabari]

passwordなしsudoとかそもそも、って感じではあるが、それ以外も即死やな…

[xlc]

メール送信がなぜダメかがよくわからん。PHPのフレームワークがshellを起動してる？sendmail自身がshellを起動してる？

[toritori0318]

Passengerまじか

[nikunoki]

Passengerが全死亡か。速やかにbashをアップデートしてよかった。

[indication]

Oops! server fault. Passenger はやばい

[John_Kawanishi]

CGIとかPassengerなんかが動くWebServer自体動いて無ければ直ちに影響はないかなぁ

[toaruR]

Passengerもか

[NetPenguin]

PHPで外部コマンド実行やメール送信は多そうだな……

[asuka0801]

コレのせいで昨日今日と大分対応面倒くさかったです

[satmat]

これってあちこちで問題が起きてないほうが奇跡と言えるレベルだったりするのかな。

[JULY]

Passenger がアウトってなぜだろう、と思ったら、worker 起動時に、かぁ。しかも、環境変数渡し...。なんか、もうちょっとがんばった実装にしなかったのかなぁ、という気が。

[kote2kote2]

こえー

[shibuyads]

おっさん // ウェブアプリにおけるBash脆弱性の即死条件 #ShellShock - めもおきば

[theatrical]

お前らの屍は拾ってやるよ

[yhys07]

条件が分かりやすくて助かります。特に条件3