BASHの脆弱性でCGIスクリプトにアレさせてみました

環境変数に仕込まれたコードを実行してしまうBASHの脆弱性が CGIスクリプトに影響を与えるか試してみたら結果は悲惨な感じに Tweet 2014年9月25日 嶋田大貴 この記事は2014年のものです 朝から Bash specially-crafted environment variables code injection attack なるもので騒ぎになっていたので、さっそく手元の Apacheで試してみました。 /hoge.cgiというURIで実行されるように、一行のメッセージを出力するだけの CGIスクリプトを設置します。いっけん、なんの入力もクライアント側から受け付けていないため危険のありようもなく見えます。 #!/bin/sh echo "Content-type: text/plain" echo echo "Hi! I'm an ordinary CGI script w

[circled]

攻撃コードをこうすれば世の中良くなるはず(redhat系)→ yum update bash -y

[tomaho]

まずfiletype:cgiで検索することから始めてみた。３億件。俺は諦めた。

[raysato]

シェル芸人がアップをはじめたようです（ぇ

[DustOfHuman]

外から関門(認証つき多段プロキシとかVPNとか)なしで繋がるシステムに対してシェル権限許すデザインって今時あるんですかねえ…

[stealthinu]

bash脆弱性の件、具体的に簡単に試せる方法について。curlで-Aオプションでuser-agent偽装で超お手軽…

[smbd]

あばばば

[rgfx]

https://twitter.com/t_ishida/status/514961007882424320 「PHPをCGIで動かしててexec関数とかでコマンド呼び出してたら無関係ではないかも知れません。」あー。mod_phpならokなん？

[Hamachiya2]

http://twitter.g.hatena.ne.jp/Hamachiya2/20081203/xsstter ←これの強化版がつくれそう

[himomen]

{ と } をサニタイズの対象にできてた自分は今回かなり褒められた

[djsouchou]

真っ先に2ch（net・sc双方）ヤバくね？ とか思ってしまった/大丈夫だった模様 http://hayabusa3.2ch.net/test/read.cgi/news/1411646391/94

[Cru]

信じがたいほどお手軽に攻撃できるのね。思わず外のサイトにやってみたくなる。今時cgiから制限なしで呼ぶとか…いっぱいありそーだなー。ここ一週間は攻撃祭り。被害どんどん拡大する悪寒。ちゃんとしたとこはすぐパ

[naga_sawa]

Shellshock問題

[raitu]

「CGI本体をシェルスクリプトで書いていなくても、シェルを使って外部コマンドを呼び出しているだけでこの脆弱性の影響を受けるケースを確認」もうインターネットは完全にサザンクロスと化したなあ

[daybeforeyesterday]

うーむ

[kyab]

危険性がわかりやすい。例えsanitizeされたものや固定文字列でsystem()関数などで呼び出す場合でもアウトなのは怖い。

[yhys07]

curlを使った攻撃サンプル。/bin/catが使えるということは/bin/rmもできるということで、つまり…

[sisicom]

今回の問題の例です。サーバまで管理している人はチェックしましょう

[citro]

怖すぎ

[fashi]

最近のPHP環境は大丈夫そうだけど古いPerl環境がまずいな… / え…これもしかしてシェル叩いてsendmailにパイプ渡しする処理とかもダメ？

[hycon]

これはまずい

[verda]

こっち方面はちょっと使ったことある程度で全然詳しくないんだけど、未だにbashの脆弱性が見つかったりするのね

[nezuku]

シェルスクリプトでなくとも、プロセス呼び出し系の関数で起こしてしまうのは破滅的な。プロセス分離型のウェブブラウザなどだとタブプロセスには不必要な環境変数を削ぐ策もあるが、UA文字列等はそうもゆかないし…

[yujin_kyoto]

/bin/sh -> /bin/bashしてる時点でアウトだと前から思ってたが、こんな日が来るとは。オレはしつこくcsh使ってるけど。

[vanish_l2]

うーん、すげー怖い

[syuu1228]

@At_Zamasu_Zansu その記事のコードはbashだから確認にならないですね。ここの追記のコードはpythonなので確認になりますね。

[t_furu]

"HTTP_USER_AGENTあたりが手頃な環境変数なので curlの -A オプションを使って自白剤を注入" / ほんとに残念なお知らせだ

[nemoba]

“残念なお知らせです”が本当に残念なお知らせだ

[melonlife]

手元のOS X Mountain Lionでは再現できましたね。アップデートくるのかな

[ai-project]

おまえら急げ死ぬぞ

[caesar_wanya]

朝から話題になってたのこれか、ひょえ～

[akahigeg]

わかりやすい例

[Nyoho]

これは破壊力大きいな

[yamadar]

これはまた、物凄いのが出てきたな。

[shag]

例がわかりやすい

[Chishow]

理解した　これは恐ろしすぎる

[dekasasaki]

青ざめた