【セキュリティ ニュース】「Wget」に脆弱性、FTPファイル取得でローカルファイル操作のおそれ(1ページ目 / 全1ページ):Security NEXT
Linuxディストリビューションなどで広く採用されているファイル取得ツール「Wget」に、任意のローカルファイルを操作される脆弱性「CVE-2014-4877」が含まれていることがわかった。修正版が公開されている。 「Wget」は、「HTTP」や「HTTPS」「FTP」といったプロトコルに対応しており、ファイルをネットワーク経由でダウンロードするソフトウェア。GNUが提供している。 同ソフトにおいてシンボリックリンクの取り扱いに脆弱性が判明したもの。FTPサーバから再帰的にファイルをダウンロードする際、細工されたシンボリックリンクがあると、任意のファイルが作成されたり、上書きされるおそれがある。 修正版として「同1.16」が公開されている。また、初期状態でローカル側にシンボリックリンクを作成しない「retr-symlinksオプション」が有効化されているという。 (Security NEX
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog
※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln
閲覧でウイルス感染も「bash」に重大欠陥 NHKニュース
インターネットのホームページを表示するサーバーで広く利用されているプログラムに重大な欠陥が見つかり、放置しておくと、個人情報の流出などを招くおそれがあるとして、セキュリティー機関などが早急な対策を呼びかけています。 欠陥が見つかったのは、Linuxという基本ソフト上で動く「bash」と呼ばれるプログラムで、インターネットのホームページを表示するサーバーで広く利用されています。 このプログラムについて25日、外部からコンピューターを勝手に操作されかねない重大な欠陥があることが明らかになりました。 この欠陥を悪用されると、サーバーに保管されている個人情報が流出したり、ホームページを閲覧した人のパソコンが、ウイルスに感染するよう仕組まれる危険性があるということです。 このため、セキュリティー機関のJPCERTなどは、このプログラムを利用しているサイトに欠陥が修正された最新のプログラムを早急に導入
先程から騒ぎになっているbashの脆弱性について – 上田ブログ
確認しました(苦笑) (追記: envを抜いてましたが、それだとCシェル系で確認できないので加えました) ueda@remote:~$ env x='() { :;}; echo vulnerable' bash -c 'echo this is a test' vulnerable this is a test 最初のワンライナーでなにがおこってるかというと、xの値であるはずの「() { :;}; echo vulnerable」の、echo vulnerableの部分がなぜか実行されています。 bashの文法ではシングルクォートで囲んだ中のものは何がどう書いてあっても単なる文字列であって、evalとかshとかに突っ込まない限り実行されるわけはないので、これは実装ミスかと。(と、書いたのですが環境変数に関数を仕込めるという仕様があるという話を初めて聞いて愕然と・・・。いま慌てて調べてます
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
