Linuxアプライアンス類もBash脆弱性対策を - .@sknn's tumblr.

[NEW] 2014/09/30: アプライアンスの対応状況まとめを随時更新中 CVE-2014-6271及びCVE-2014-7169ねた(Bash脆弱性)。 世間では、外部公開サーバー(特にWebサーバー)への対処が着々と進められています。Webサーバーだけでなく、メールサーバーへの攻撃パターンも早期に見付かっています。外部公開サーバーに対する総合的な点検が近いうちに進んでいくものと思われます。 bash Shellshock through MAIL .forward / qmail-alias piping (ML program etc.) CVE-2014-6271 http://t.co/QPbSE8dppM http://t.co/AFuHudkCdh September 26, 2014しかし、一般的なサーバー類だけでなく主にファイアウォールの内部に設置されているアプライ

[takeshich]

対応パッチなどがリリースされていない状態で、特定の製品名を出すのは大丈夫なのだろうか。。。ちょっと気になる。脆弱性を確認できてしまった場合のベストプラクティスとかあるのかなぁ。

[o2t]

わかりやすくまとまっています。

[stealthinu]

葉っぱさんとこの手法でLinuxアプライアンスへの攻撃が可能な機器の指摘出てますね。bashの脆弱性のある機器リストがあるといいけど攻撃側にもそれすごく有用だろうな…

[namikawamisaki]

これはしばらく待てば（サポート中の機械なら）新しいファームが出るはず。

[naga_sawa]

Shellshock問題

[John_Kawanishi]

｢手元のAppliance類が脆弱かどうか調べるのは容易ではありません。LinuxApplianceにはBusyBoxを使っていてBashが入っていないものもあり更にRemoteLoginできない機器も多くこれらをBlackBox試験していくのは茨の道です。私は疲れまし

[wakowa_feuiwaf]

Linuxアプライアンス類もBash脆弱性対策を - @sknn's tumblr

[napsucks]

ARM系のlinux boxはたいていbusyboxだからashで大丈夫ってことかな。IAのアプライアンス箱は危なさそうだね。

[t-wada]

“クライアントPCを踏み台にすることで、内部向けサーバはもちろんのこと、アプライアンス類にも容易に到達できるようになります。Linuxベースのファイアウォール・ルータに脆弱性があれば、内部から突くことも可能”

[yohichidate]

そういえば、この手のインターネット経由でアクセスするNASとかは盲点だったわ。しかもこの手のってメーカーのファームが出ないと結構お手上げだし。

[C_L]

BusyBoxとかにダウンサイズする必要性って組み込み用途以外だと無いだろうからbashつかっとるだろうなあ……

[kuxttoba]

複合機でもWEBサーバ搭載してる機種があるけど、そういのはどうなんだろ？

[uehaj]

"アプライアンス類が脆弱かどうか調べるのは容易ではありません。LinuxアプライアンスにはBusyBoxを使っていてBashが入っていないものもあり(Ashが動いている"

[gikazigo]

Linuxアプライアンス類もBash脆弱性対策を - sknn's tumblr