GNU Bashの環境変数処理の不備により任意のコードが実行される脆弱性(CVE-2014-6271,CVE-2014-7169)に関する検証レポート 【概要】 GNU Bash(以下、単にBash)にリモートより任意のコードが実行される脆弱性が発見されました。一連の脆弱性の愛称?は「Bashbug」または「Shellshock」のようです。 本脆弱性は、Bashの環境変数に関数を設定し同一の環境変数内に任意のコードを設定することで発生します。 攻撃者は、細工した環境変数を設定することにより、Bashを経由した環境で任意のコードが実行可能となります。 Bashを経由した環境での脆弱性の利用方法は、以下のような場合があります。 – ApacheなどWebサーバ上でCGIをBashから実行している場合にWebサーバの実行権限で任意のコードを実行 – DHCPサーバで環境変数に任意のコードを埋め