2014/09/24に発表されたBash脆弱性と解決法(RedHat系、9/26更新) - Qiita
2014/09/26更新: 本日新たに公開された再修正版を適用するように、情報を更新しました。恐らく、24日のは暫定対応版で今回のリリースが正式対応版だと思います。緊急性については前回のレベルほど高くありません(が、前回の作業を行っていない場合は急ぎましょう)。 Bash使い(特にBashのCGIスクリプト書いてる人)は一刻を争うべき 2014/09/24に発表されてたBash脆弱性。 上記サイトに概要が書いてありますが、何が一番ヤバいかと言えばBashで書いたCGIスクリプトを動かしているサーバーだと私は思います。 詳しくは書きませんが、telnetコマンドで簡単に悪意のあるコードを仕込めました。悪意あるコードが、rmコマンドだったりしたら。取り返しが付きません。 解決法(RedHat、CentOS等) yumコマンドやrpmコマンドでパッケージ管理をしているRedHat系(CentOS
【Bash脆弱性 対応のまとめ】 各ディストリビューションの修正パッケージのリリース相次ぐ、暗黙にBashを呼び出すケースに要注意
【記事内容の更新】 米国時間9月29日付けで発表されたMac OS X向け修正パッケージの公開に関する情報を追加しました(注記の[2])。 Bashは、LinuxやMac OS X等のUnix系システムにおいてOSとユーザの仲立ちをする「シェル」と呼ばれるソフトウェアの1つで、特にLinuxでは標準のシェルとして一般に使われている。また、原型のshシェルの拡張として、ユーザ対話だけでなくプログラムの一種としても広く利用される。 今回の脆弱性では、環境変数を経由した命令定義が、内容を問わずそのままBashで実行されてしまう。わかりやすい例はWebサーバのCGIプログラムで、そのやり取りではユーザのIPアドレスやユーザエージェント等の情報が環境変数で渡されるため、CGIプログラムがBashで記述されている場合、細工した情報を送ることにより、それを受け取ったBashが環境変数を経由して任意のコマ
bash脆弱性(2014/9/24公開)対応について | DevelopersIO
はじめに AWSチームの鈴木です。 2014/9/24、多くのLinuxディストリビューションのシェルとして採用されている「bash」に関する、脆弱性の報告がありました。 GNU bash の脆弱性に関する注意喚起 「bash」に危険度の高い脆弱性、修正パッチの適用と回避策の実施を AWSがEC2用として提供しているLinux OSイメージ(AMI)にも当脆弱性の影響が及びます。 当記事ではその対応方法についてまとめます。 2014/10/01 update yumによるパッチ適用、確認方法について、追記、修正を実施しました。 対処方法 パッチ適用済みのパッケージがリリースされています。 パッケージ管理システム(yum, apt-getなど)を利用してアップデートを実施します。 Amazon Linux 公式情報 ALAS-2014-418 ALAS-2014-419 アップデート 1)事
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog
※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
