【埋】bash脆弱性(shellshock) でQNAPのNASと向き合ったひと幕のお話
この週末は bashの脆弱性 問題、通称 「shellshock」 の話で持ちきりでした。 そのあまりの影響の大きさにFXで有り金全部溶かした人みたいな顔で 対応に追われた鯖屋の方々も大勢いらっしゃることでしょう。。。(汗 ■bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog http://d.hatena.ne.jp/Kango/20140925/1411612246 環境変数に仕込んだコードが実行されてしまう、だけならまだ良かったのですが、 それがREFERERやUSER-AGENT等に仕込まれることでHTTPアクセスを介して 突っ込まれてしまうというのは、bashとapacheの普及度合いから考えると 影響度は無限大 といえます。世界中のサーバ管理者が穴塞ぎに追われ、 乗っ取り等が行われていないかどうかピリピリした日
次々に発覚するbashの脆弱性、最新のパッチ適用を
9月24日以降、これまでに確認された脆弱性は計6件。「最初の修正パッチのみに頼っている場合、直ちに行動する必要がある」と専門家は指摘する。 環境変数の処理に関する重大な脆弱性が発覚した「bash」(Bourne Again Shell)に、別の脆弱性が相次いで発見されている。セキュリティ研究者などは改めて、最新のパッチを適用して全ての脆弱性に対処するよう促した。 bashは9月24日に環境変数の処理に関する脆弱性「CVE-2014-6271」を修正するパッチが公開された。ところがその直後から別の脆弱性が次々に発見され、9月末までに確認された脆弱性は「CVE-2014-7169」「CVE-2014-7186」「CVE-2014-7187」「CVE-2014-6277」「CVE 2014-6278」の計6件に上る。 セキュリティ研究者のマイケル・ザレウスキ氏は10月1日のブログでこのうちの2件
bash脆弱性、国内メーカーの対応まとめ(10月3日夜現在)
LinuxなどUNIX系OSで使われているシェル「bash」にOSコマンドインジェクションの深刻な脆弱性が発覚した問題で、国内メーカーなどの対応状況を10月3日午後8時半現在で取りまとめた。なお、編集部で確認できた範囲のため、情報が網羅されているわけでないことをあらかじめお断りしておく。脆弱性の詳細などについて、JPCERT コーディネーションセンターが情報を公開している。 メーカー 10月3日午後8時半更新 アイ・オー・データ機器(注記1) 影響を受ける製品(対策ファームウェアあり)……HDL-XR/XRW シリーズ、HDL-XR2U/XR2UW シリーズ、HDL-XV/XVW シリーズ、HDL-A/AH シリーズ、HDL2-A/AH シリーズ、HDL-S シリーズ、HDL2-S シリーズ、HDLP-S シリーズ、HDLP-G シリーズ、ASD-XR4.0、HVL-A/AT/ATA シリ
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。 #記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。 脆弱性情報 脆弱性の愛称 ShellShock Bashbug CVE番号 Bash周りで発行されているCVEは6つ。その内詳細が不明なのが2つ。(CVE-2014-6277,CVE-2014-6278) CVE 発見者 想定脅威 特記 CVE-2014-6271 Stephane Chazelas氏 任意のコード実行 ShellShockの発端となったバグ。 CVE-2014-7169 Tavis Ormandy氏 任意のコード実行 CVE-2014-6271修正漏れによる脆弱性 CVE-2014-7186 Redhat DoS メモリ破壊(Out-of-Bo
先程から騒ぎになっているbashの脆弱性について – 上田ブログ
確認しました(苦笑) (追記: envを抜いてましたが、それだとCシェル系で確認できないので加えました) ueda@remote:~$ env x='() { :;}; echo vulnerable' bash -c 'echo this is a test' vulnerable this is a test 最初のワンライナーでなにがおこってるかというと、xの値であるはずの「() { :;}; echo vulnerable」の、echo vulnerableの部分がなぜか実行されています。 bashの文法ではシングルクォートで囲んだ中のものは何がどう書いてあっても単なる文字列であって、evalとかshとかに突っ込まない限り実行されるわけはないので、これは実装ミスかと。(と、書いたのですが環境変数に関数を仕込めるという仕様があるという話を初めて聞いて愕然と・・・。いま慌てて調べてます
「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
脆弱性は多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。 LinuxなどのUNIX系OSで標準的に使われているシェル「bash」に極めて重大な脆弱性が見つかり、9月24日に修正パッチが公開された。攻撃者がbashにコマンドを送って任意のコードを実行できる可能性が指摘されており、米セキュリティ機関のSANS Internet Storm Centerなどはパッチ適用を急ぐよう呼び掛けている。 関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。 この脆弱性は、多くの一般的
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
