[B! CVE-2014-6271] utsuidaiのブックマーク

OS XのBashで脆弱性CVE-2014-6271を修正する方法。

Bashの脆弱性CVE-2014-6271をOS X で修正する方法です。詳細は以下から。昨日明らかになったBashの脆弱性「環境変数に仕込まれたコードを実行してしまうBASHの脆弱性」は既にUbuntuなどでは修正されていますが、OS X ではまだ”command line tools“にアップデートがかからないので、self updateする方法をまとめました。チェック方法ターミナル.appを起動して以下の一行を実行 env x='() { :;}; echo vulnerable' bash -c "echo hello" この状態で vulnerable hello と脆弱”vulnerable”と出れば脆弱性が存在します。 HomebrewやMacPorts HomebrewやMacPortsを使用している場合、既にアップデートされているのでそちらをお使い下さい。Homeb

utsuidai 2014/09/26

CVE-2014-6271

リンク

[CentOS] Centos 7 + SystemD + Predictable Network Interface Names

[CentOS] Centos 7 + SystemD + Predictable Network Interface Names Jonathan Billings billings at negate.org Wed Sep 24 15:20:16 UTC 2014 Previous message: [CentOS] Centos 7 + SystemD + Predictable Network Interface Names Next message: [CentOS] Centos 7 + SystemD + Predictable Network Interface Names Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] On Wed, Sep 24, 2014 at 10:04:39AM -0

utsuidai 2014/09/25

CVE-2014-6271

リンク

先程から騒ぎになっているbashの脆弱性について – 上田ブログ

確認しました（苦笑）（追記: envを抜いてましたが、それだとCシェル系で確認できないので加えました） ueda@remote:~$ env x='() { :;}; echo vulnerable' bash -c 'echo this is a test' vulnerable this is a test 最初のワンライナーでなにがおこってるかというと、xの値であるはずの「() { :;}; echo vulnerable」の、echo vulnerableの部分がなぜか実行されています。 bashの文法ではシングルクォートで囲んだ中のものは何がどう書いてあっても単なる文字列であって、evalとかshとかに突っ込まない限り実行されるわけはないので、これは実装ミスかと。（と、書いたのですが環境変数に関数を仕込めるという仕様があるという話を初めて聞いて愕然と・・・。いま慌てて調べてます

utsuidai 2014/09/25

CVE-2014-6271

リンク

BASHの脆弱性でCGIスクリプトにアレさせてみました

環境変数に仕込まれたコードを実行してしまうBASHの脆弱性が CGIスクリプトに影響を与えるか試してみたら結果は悲惨な感じに Tweet 2014年9月25日嶋田大貴この記事は2014年のものです朝から Bash specially-crafted environment variables code injection attack なるもので騒ぎになっていたので、さっそく手元の Apacheで試してみました。 /hoge.cgiというURIで実行されるように、一行のメッセージを出力するだけの CGIスクリプトを設置します。いっけん、なんの入力もクライアント側から受け付けていないため危険のありようもなく見えます。 #!/bin/sh echo "Content-type: text/plain" echo echo "Hi! I'm an ordinary CGI script w

utsuidai 2014/09/25

CVE-2014-6271

リンク

Remote exploit vulnerability in bash CVE-2014-6271

A remotely exploitable vulnerability has been discovered by Stephane Chazelas in bash on Linux and it is unpleasant. The vulnerability has the CVE identifier CVE-2014-6271 and has been given the name Shellshock by some. This affects Debian as well as other Linux distributions. You will need to patch ASAP. Bash supports exporting shell variables as well as shell functions to other bash instances. T

utsuidai 2014/09/25

CVE-2014-6271

リンク

はてなブックマーク

タグ

関連タグで絞り込む (0)

CVE-2014-6271に関するutsuidaiのブックマーク (5)

お知らせ

今週のはてなブックマーク数ランキング（2024年11月第1週）

月間はてなブックマーク数ランキング（2024年10月）

今週のはてなブックマーク数ランキング（2024年10月第4週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス