bashにコードインジェクションの脆弱性「Shellshock」、管理者に大きなショック

bashにコードインジェクションの脆弱性「Shellshock」、管理者に大きなショック：影響範囲はどこまで？ UNIX系OSのシェル「bash」に極めて深刻な脆弱（ぜいじゃく）性が発見された。すでにこの脆弱性をスキャンする通信を観測したという報告もあり、修正パッチの適用や継続的な情報収集が望まれる。 米国時間の2014年9月24日、LinuxやMac OS XなどのUNIX系OSで使われているシェル「bash（Bourne Again Shell）」に、極めて深刻な脆弱性（CVE-2014-6271）が発見された。シェルの環境変数として外部入力を受け入れる設定となっている環境では、最悪の場合、リモートから任意のコマンドを実行される恐れがある。bashの配布元であるGNU Projectやパッケージ配布を行っている各Linuxディストリビューションがパッチを公開済みで、速やかに適用するよう

[kana321]

UNIX系OSのシェル「bash」に極めて深刻な脆弱（ぜいじゃく）性が発見された。すでにこの脆弱性をスキャンする通信を観測したという報告もあり、修正パッチの適用や継続的な情報収集が望まれる

[ebo-c]

"一部のLinuxやBSD系OSでは/bin/shがデフォルトでbash以外のシェルとなっている" 志村逆的ツッコミ待ちコメントか

[palmyra]

bashが環境変数を実行コマンドとして誤認識してしまうバグで、不特定多数がアクセスするCGI(掲示板など)を実行しているサーバが影響を受ける。というとこまで理解できた

[matogawa183]

CGIは入力値を環境変数として扱う

[John_Kawanishi]

「HTTP_USER_AGENTに細工を施してターゲットにアクセスすることで、/etc/passwdの内容を表示できるなど、任意のコマンドを実行できることが検証できた」

[mkusunok]

今年は本当にこれまで頼り切っていた土台への信頼が崩れる事案が続くな

[asakura-t]

Linuxベースの組込み系か…。

[longroof]

あぁ(；´Д｀)

[tsupo]

「CVE-2014-6271とは別の脆弱性、CVE-2014-7169」

[deep_one]

Shellshockって…