【イベントレポート】 WindowsにUbuntuのBashがやってくる
DNSを悪用して脆弱性「Shellshock」を攻撃する手法発見 - Full Disclosure
bashのセキュリティ脆弱性(通称:Shellshock)の影響はいまだとどまることなく、さらに広がりを見せている。この脆弱性を攻撃する手法としてすでにHTTPやDHCPが知られているが、新たにDNSの逆引きを利用する方法が発見された。さまざまなメディアで報道されているが、例えばFull Disclosureに掲載された「Full Disclosure: CVE-2014-3671: DNS Reverse Lookup as a vector for the Bash vulnerability (CVE-2014-6271 et.al.)」などが興味深い。スレッドで、この問題について詳しく解説されている。 DNSの逆引きの結果として「() { :;}; echo CVE-2014-6271, CVE-201407169, RDNS」といったShellshockを悪用する文字列を返すよう
記者は「ShellShock」に触れてみた、そして震え上がった
LinuxなどUNIXベースのOSで広く使われているシェル(コマンド実行環境)「GNU Bash」で2014年9月24日に見つかった非常に危険な脆弱性、いわゆる「ShellShock」の件で、IT業界が大騒ぎになっている(関連記事:「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も)。 記者は先週末、取材でほとんど外に出ていたが、取材先を訪問するたびに必ずこの話題が出ていたほど。もちろん、ITproはじめIT系ニュースサイトもShellShock関連のニュースを盛んに取り上げている。既にこの脆弱性を悪用する攻撃も始まっており、ボットネットも出現している。この先どんな被害が出るのか、想像するのも困難な状況だ。 記者は、記者としてこの手のセキュリティ記事を書く立場だが、対策をとるべきインターネットサイトの運用者としての立場も持っている。自宅で固定IPアドレス(IPv4)を契約
ShellShock(CVE-2014-6271)の各ディストリビューションの対応状況について | マイナビニュース
こんにちは、村田です。本日は2014年9月24日に発見された脆弱性問題のShellShock(CVE-2014-6271)について、発見から1周間が経ち各ディストリビューションの対応状況も出揃いましたので、まとめてみました。実際に同脆弱性をついた攻撃は始まっており、代表例ではCGIを利用するWebサーバなどは環境変数に悪意のあるコードを埋め込むことでサーバー上の情報を抜き取られる可能性やが乗っ取られる可能性がありますので注意が必要です。また、Linuxサーバーだけではなく Linux/Unix をベースにしたネットワーク機器も同脆弱性の対象となる可能性があります。例えばネットワークルーターなどもWebベースの設定画面などをCGIなどで組むケースがあり、外部からアクセス可能な状況であれば脆弱性を突かれる可能性があります。個人情報、重要データの漏洩やサイト改ざんという最悪な自体も想定されるため
Patch Bash NOW: 'Shellshock' bug blasts OS X, Linux systems wide open
Updated A bug discovered in the widely used Bash command interpreter poses a critical security risk to Unix and Linux systems – and, thanks to their ubiquity, the internet at large. It lands countless websites, servers, PCs, OS X Macs, various home routers, and more, in danger of hijacking by hackers. The vulnerability is present in Bash up to and including version 4.3, and was discovered by Steph
CVE - CVE-2014-6271
Note: References are provided for the convenience of the reader to help distinguish between vulnerabilities. The list is not intended to be complete. APPLE:APPLE-SA-2014-10-16-1 URL:http://archives.neohapsis.com/archives/bugtraq/2014-10/0101.html BID:70103 URL:http://www.securityfocus.com/bid/70103 BUGTRAQ:20141001 NEW VMSA-2014-0010 - VMware product updates address critical Bash security vulnerab
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。 #記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。 脆弱性情報 脆弱性の愛称 ShellShock Bashbug CVE番号 Bash周りで発行されているCVEは6つ。その内詳細が不明なのが2つ。(CVE-2014-6277,CVE-2014-6278) CVE 発見者 想定脅威 特記 CVE-2014-6271 Stephane Chazelas氏 任意のコード実行 ShellShockの発端となったバグ。 CVE-2014-7169 Tavis Ormandy氏 任意のコード実行 CVE-2014-6271修正漏れによる脆弱性 CVE-2014-7186 Redhat DoS メモリ破壊(Out-of-Bo
「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
脆弱性は多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。 LinuxなどのUNIX系OSで標準的に使われているシェル「bash」に極めて重大な脆弱性が見つかり、9月24日に修正パッチが公開された。攻撃者がbashにコマンドを送って任意のコードを実行できる可能性が指摘されており、米セキュリティ機関のSANS Internet Storm Centerなどはパッチ適用を急ぐよう呼び掛けている。 関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。 この脆弱性は、多くの一般的
Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研
Browse by time: December 2018 (1) December 2016 (1) December 2015 (1) January 2015 (1) September 2014 (2) July 2014 (2) April 2014 (1) February 2014 (1) January 2014 (3) December 2013 (2) September 2013 (3) June 2013 (1) May 2013 (1) April 2013 (1) March 2013 (2) February 2013 (5) やっと更新する気になった。 もくじ 0. 産業で説明 1. 理論編 2. 攻撃編 3. パッチ 4. 結論 0. 産業で説明 bashが アホで 地球がヤバイ 1. 理論編 bashの関数機能は、環境変数の中でも使える仕様になっています
BASHの脆弱性でCGIスクリプトにアレさせてみました
環境変数に仕込まれたコードを実行してしまうBASHの脆弱性が CGIスクリプトに影響を与えるか試してみたら結果は悲惨な感じに Tweet 2014年9月25日 嶋田大貴 この記事は2014年のものです 朝から Bash specially-crafted environment variables code injection attack なるもので騒ぎになっていたので、さっそく手元の Apacheで試してみました。 /hoge.cgiというURIで実行されるように、一行のメッセージを出力するだけの CGIスクリプトを設置します。いっけん、なんの入力もクライアント側から受け付けていないため危険のありようもなく見えます。 #!/bin/sh echo "Content-type: text/plain" echo echo "Hi! I'm an ordinary CGI script w
Bash 脆弱性(2) CVE-2014-6271 / CVE-2014-7169 は何が危険で問題なのかを検証してみました。 – CLARA ONLINE techblog
こんにちは、グローバルソリューション事業部で運用等を行っている宇野と申します。 先に投稿された「Bash 脆弱性(1) CVE-2014-6271 / CVE-2014-7169 絶賛対応中です」の続きとして 何が危険なのかを検証してみましたので、ご参照ください。 はじめに まず、今回の問題点や危険な点を簡単に挙げると、、 ・リモートで任意のコマンドが実行できてしまう可能性がある。 ・Bash は linux 等のシステムで必ずインストールされているパッケージなので、影響が大きい。 ということでしょうか。その内容を紐解いています。 まずは、数ある情報元からの例です(以下は Redhat のセキュリティブログ ) ・Bash specially-crafted environment variables code injection attack とあるコードを環境変数に組み込むと、任意の
bash 入門
ユーザーの入力をカーネルに伝えまたその逆を行う、いわば両者の橋渡しを行うプログラムをシェルといいます。ユーザーから見てカーネルを包んでいる貝殻(shell)のように見えることからそう名付けられました。 シェルには多くの種類がありますが、Linuxにおけるデファクトスタンダードになっているbashについてどんな機能があるかを見ていきます。 補完 まず知っておきたい基本的な機能が補完です。コマンドプロンプトでTabキーを押すことで、コマンド名やファイル名を補完することが出来ます。 $ ls abc1 abc2 def $ cat a[Tab] $ cat abc 確定できる部分までが補完されました。ここからさらに2回Tabキーを叩くと候補が表示されます。 $ cat abc[Tab][Tab] abc1 abc2 リダイレクト・パイプ リダイレクトとパイプという機能を理解するにはプロセスがどの
bash 超プログラム術
bash の解説なんて、ネット上には結構あったりするのだが、これをわざわざ公開しようというのは、次の理由による。 某ソフトハウスでのUNIX講座用に書いてしまったから。 ネット上にある bash 解説だと、表面的な構文解説程度であり、きっちりスクリプト言語として使い倒すレベルの解説はあまりない。まあ、プログラミング言語として凝ったサンプルもやってみようじゃないの、というノリで割とディープに解説する。 アクセスを増やすための人気取り(苦笑)。 まあ、そんな不純な目的による bash 解説である。とはいえ、日常的に使い慣れている bash であっても、「え、こんな使い方があったの!?」という発見もあることであろう。苦笑しながらでも読んでくれたまえ。だから、初歩的なリダイレクションなんかは解説しないからそのつもりで。 ちなみに参考書としたのはオライリー・ジャパン刊「入門 bash 第2版」である
My wonderful living » Blog Archive » Cygwinインストール後にまずしたいこと
'; doc += ''; doc += ''; doc += ''; winimg.document.writeln(doc); winimg.document.close(); } //]]> Cygwinインストール後にまずしたいこと Windows上でUNIX系コマンドが利用可能になる、GNUのCygwinは非常に便利で利用している方も沢山いると思う。 でも残念なことに、Cygwinインストール後は「.bash_profile」や「.bashrc」はない。 あえてWindows上でUNIXコマンドを使いたいと思う人は、慣れているし既に自分スタイルのprofileを持っていると思うが、とりあえず基本的な設定ファイルの作成ということで。 bash関連設定ファイルは以下になる。 /etc/profile ~/.bash_profile ~/.bash_login ~/.profile ~
Bash基礎文法最速マスター - いろいろ解析日記
Bashの文法一覧です。他の言語をある程度知っている人はこれを読めばBashの基礎をマスターしてBashを書くことができるようになっています。簡易リファレンスとしても利用できると思いますので、これは足りないと思うものがあれば教えてください。 1.基礎 echo文 echo文です。 echo "Hello world" コメント コメントです。 # コメント 変数の宣言 変数の宣言です。 # 文字列変数 declare str # 数値変数 declare -i num # 配列変数 declare -a array スクリプトの実行 スクリプトを実行するにはコマンドラインで次のようにします。 bash script.sh 出力結果をファイルに書き出すにはリダイレクトを使います。 bash script.sh > file.txt 文法チェック 事前に文法チェックを行うには、次のようにします
Bash&シェルスクリプトを極めるテクニックまとめ | OSDN Magazine
UNIXやLinuxのエキスパートになるのに避けて通れないのが、Bashに代表されるコマンドラインシェルによる操作だ。そこで本記事では、「Bashのカスタマイズ」「シェルスクリプトの高等テクニック」「Bash以外の高機能シェル」の3つについて、SourceForge.JP Magazineで過去に掲載された解説記事を紹介する。 Bashをカスタマイズして使いこなす Bashは非常にカスタマイズの幅が広く、またちょっとした改良や簡単なシェルスクリプトの利用により、大きく作業効率が改善する。ここでは、Bashのカスタマイズテクニックを解説する記事を紹介する。 コマンドラインでシェルのエイリアスと関数を使って作業を効率化する GNU/Linuxシステムを最大限に活用するには、やはりコマンドプロンプトとシェルスクリプトへの習熟が欠かせない。とはいえ、そうした処理はなるべく手早く済ませたいものだ。本
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【海外ITトピックス】 Windowsが「Bash」をサポート クラウド戦略を進めるMicrosoft
ComputerworldとCIO Magazineは閉鎖しました
Bash 脆弱性 – ShellShock- (1) CVE-2014-6271 / CVE-2014-7169 絶賛対応中です – CLARA ONLINE techblog
bash 入門