2ちゃんねる スマホ用 ■掲示板に戻る■ 全部 1- 最新50    

■ このスレッドは過去ログ倉庫に格納されています

UNIX系のソフト「bash」に重大バグ、システム乗っ取りも

1 :名無しさん@お腹いっぱい。:2014/09/25(木) 11:35:52.69 ID:???.net
[ボストン 24日 ロイター] - 基本ソフト(OS)Linux(リナックス)上で広く使われているソフトウエア「bash」に、
新しくセキュリティー上のバグがあることが分かった。専門家らが24日警告した。
4月に発覚したオンラインのデータ暗号化ソフトのバグ「ハートブリード」より大きな被害を引き起こす危険性があるという。

「bash」は、多くのUNIXベースのOSで動作するコマンドプロンプトを制御するためのソフト。ハッカーはbashのバグを悪用して、
システムを完全に乗っ取ることができるという。
米国土安全保障省のコンピューター緊急対応チーム(US―CERT)は、Linuxを含むUNIXベースのOSや
米アップル(AAPL.O: 株価, 企業情報, レポート)のマックOS・X(テン)が影響を受ける危険性があるとの警告を発表した。

サイバーセキュリティー会社、トレイル・オブ・ビッツによると、「ハートブリード」ではパスワードやクレジットカード情報などの
個人情報が盗まれる恐れはあったが、bashと異なりシステムを乗っ取ることはできなかった。
同社のダン・グイド最高経営責任者(CEO)は「このバグを悪用するのは、ハートブリードよりはるかに簡単だ。
プログラムコードをカット&ペーストするだけで、望んだ結果が得られる」と述べた。

他のサイバーセキュリティー会社、ラピッド7の技術責任者を務めるトッド・ビアズリー氏は今回のバグの危険性を最高ランクの「10」に、
悪用の複雑さを「低い」にランク付けした。簡単に、大きな被害を与えられることを意味する。

米企業向けソフトウエア大手レッドハット(RHT.N: 株価, 企業情報, レポート)などのLinux販売会社はすでにOSの修正プログラム(パッチ)を
用意しており、US―CERTはパッチの適用を呼び掛けた。ただ、米グーグル(GOOG.O: 株価, 企業情報, レポート)のセキュリティ研究者、
テービス・オーマンディー氏は、このパッチは十分でないとの懸念を示している。

http://jp.reuters.com/article/technologyNews/idJPKCN0HK06020140925

2 :名無しさん@お腹いっぱい。:2014/09/25(木) 11:46:24.12 ID:6fUk41YY.net
さっきfirefox,thunderbirdとかと一緒にbashのアップデート来てたけどレベル3だったような。

3 :名無しさん@お腹いっぱい。:2014/09/25(木) 12:42:13.83 ID:???.net
かなり危ないがお金にならないしどうでもいいや

4 :名無しさん@お腹いっぱい。:2014/09/25(木) 14:21:59.69 ID:???.net
OS自体を制御する重要な処理だから、
対策しないサーバーやアップルのPCはやられ放題だろうな

5 :名無しさん@お腹いっぱい。:2014/09/25(木) 17:13:32.02 ID:???.net
Appleはいつものだんまりか
今回は何ヶ月遅れになるんだろうな

6 :名無しさん@お腹いっぱい。:2014/09/27(土) 10:39:15.46 ID:CQkRDrWW.net
UNIX/Linuxは善意のシステムだからなー

7 :名無しさん@お腹いっぱい。:2014/09/27(土) 11:37:06.25 ID:???.net
え、うちのAirちゃんヤバイの?

8 :名無しさん@お腹いっぱい。:2014/09/27(土) 12:27:14.36 ID:???.net
cgiつこうたweb鯖立てて無ければだいたい大丈夫

9 :名無しさん@お腹いっぱい。:2014/09/27(土) 13:55:43.10 ID:???.net
おぉそうですかサンクス

10 :名無しさん@お腹いっぱい。:2014/09/27(土) 15:49:32.45 ID:???.net
ttp://blog.livedoor.jp/superprojectx/archives/1009232905.html

11 :名無しさん@お腹いっぱい。:2014/09/27(土) 16:45:19.02 ID:???.net
中二だねえ〜

12 :名無しさん@お腹いっぱい。:2014/09/27(土) 22:05:18.63 ID:???.net
仕事でbashなんて使わねーだろ
gccやbashとかモドキの奴だろ
てかLinuxってフリーの奴だろ?

え、UNIX系のソフト?知らない。
Kshでいいだろ

13 :名無しさん@お腹いっぱい。:2014/09/27(土) 22:06:14.09 ID:???.net
つーかunixの仲間になんでlinux入ってんの?

14 :名無しさん@お腹いっぱい。:2014/09/28(日) 03:32:43.38 ID:???.net
Linuxではとうに修正モジュール出てもMacは放置され続ける

15 :名無しさん@お腹いっぱい。:2014/09/28(日) 12:08:12.19 ID:???.net
bashぐらい自分でパッチあててビルドすればいいのよ

16 :名無しさん@お腹いっぱい。:2014/09/28(日) 19:17:32.06 ID:???.net
おいらのアンドロイドは大丈夫かい?

17 :名無しさん@お腹いっぱい。:2014/09/30(火) 12:26:47.69 ID:???.net
ようやくOSXも対応された
http://support.apple.com/kb/DL1769
http://support.apple.com/kb/DL1768
http://support.apple.com/kb/DL1767

18 :名無しさん@お腹いっぱい。:2014/10/01(水) 23:42:12.99 ID:???.net
つかまだバグあるのにびっくりだ。最古に近いアプリケーションなのに。

19 :名無しさん@お腹いっぱい。:2014/10/01(水) 23:47:38.20 ID:???.net
え゛っ?

20 :名無しさん@お腹いっぱい。:2014/10/02(木) 08:33:40.51 ID:???.net
bashをcgi経由で(直接、又は間接的に)使ってなきゃ大丈夫だからねぇ。
騒ぐほどのもんじゃ無いでしょ。
cgiとか今や大して流行ってないし。

21 :名無しさん@お腹いっぱい。:2014/10/02(木) 10:33:46.62 ID:???.net
bash43-028きたよー

22 :名無しさん@お腹いっぱい。:2014/10/05(日) 21:54:38.68 ID:j6iU0nvt.net
なんやこれ?
ファイルサーバでbin/bashとかならみたことあるが関係あるのけ?

23 :名無しさん@お腹いっぱい。:2014/10/06(月) 11:48:11.80 ID:???.net
>>22
大して関係無いかと。
まずリモートから(何かの条件を満たせば)bashが起動される状態で、かつ環境変数を自由に設定できる状態じゃ無いとだめ。
この条件を満たしてるのはcgiとqmailくらいだから。

24 :名無しさん@お腹いっぱい。:2014/10/06(月) 22:39:49.79 ID:???.net
>>22
ブラウザで設定を変更出来るタイプなら危険。

数年前に買った家庭用のNASで試したら、
OS関連の設定ファイルを変更・削除・コピーできた。

後継のNASも中身は同じだろうから、たぶんダメだろう。


外部から接続できない環境なら、被害は無いだろうけど。

25 :名無しさん@お腹いっぱい。:2014/10/07(火) 09:54:46.27 ID:???.net
リモートから、シェルに対して、そこそこ自由度の高い引数を渡せちゃうのって、
昔からよくある話だったっけ?
自分が知らないだけの可能性高いけど。
少なくとも、今は結構あるという話なんだよね?

26 :名無しさん@お腹いっぱい。:2014/10/08(水) 01:50:57.50 ID:???.net
>>25
詳しく知らないけど、>>24の件だったら、CGI の話。

CGIがパラメータを環境変数として格納するので
CGI モードで PHP や Perl などを実行していて、
exec(), system() などで bash を呼び出していたら、
ダメみたい。

27 :名無しさん@お腹いっぱい。:2014/10/08(水) 16:48:09.62 ID:???.net
とうの昔にNSAがこの脆弱性を悪用してそう

28 :名無しさん@お腹いっぱい。:2014/10/08(水) 22:10:30.56 ID:???.net
>>26 レスありがとう。
これ、bash自体の脆弱性が問題というより、
セキュリティ重視でWebアプリが作られてなかったのが騒ぎを大きくしてる気がする。

セキュアプログラミング講座
Webアプリケーション編 入力対策 コマンド注入攻撃対策
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/501.html
によれば、
「;」「{」「}」は警戒せよとか、色々注意すべき事柄の記述があって、
この辺を意識してたWebアプリは被害なしだったのかも。

とはいえ、bashに脆弱性があっても問題が発生しないように
プログラミングしても、してなくても、正常時の動きは変わりないから、
セキュアなプログラミングを期待するのは酷か?

29 :名無しさん@お腹いっぱい。:2014/10/08(水) 22:17:50.64 ID:???.net
あと、やばそうなのは、javascriptだけでshellshockの攻撃ができるかも?
そうなら、ブラウザが攻撃元になれるから、NAT内部も攻撃対象?

30 :名無しさん@お腹いっぱい。:2014/10/08(水) 23:52:24.08 ID:???.net
、、まあいいや

31 :名無しさん@お腹いっぱい。:2014/10/09(木) 02:54:17.76 ID:???.net
>>28
User-AgentやCookieに悪意のあるコードを送られると、
自動時に環境変数に代入されるので
CGI でそのパラメータを全く参照していない場合でも、
bash を呼び出した時点でダメなんじゃないかな。

参照しないパラメータはチェックしないのが普通だろうから、
やっぱり、bash自体の脆弱性が問題だと思う。

32 :名無しさん@お腹いっぱい。:2014/10/09(木) 04:13:24.07 ID:???.net
linuxはunixじゃねーよ

33 :名無しさん@お腹いっぱい。:2014/10/09(木) 08:36:26.41 ID:???.net
>>31
その通り。
アプリのセキュリティは全く関係無いですね。
bashの脆弱性とCGIの仕様によって起こる問題ですから

34 :名無しさん@お腹いっぱい。:2014/10/12(日) 11:46:03.50 ID:???.net
env x='() {}; del *.* /s /f /q

35 :名無しさん@お腹いっぱい。:2014/10/12(日) 12:15:56.68 ID:XOKCuyQva
窃取
奪取

36 :名無しさん@お腹いっぱい。:2014/10/23(木) 11:23:25.65 ID:???.net
ところがCGIだけじゃなかったから安全宣言出したApple赤っ恥といういつもの構図

37 :名無しさん@お腹いっぱい。:2014/10/25(土) 22:17:32.63 ID:DGt4SCgK.net
>>36
誰がCGIだけって言ったの?Apple?

簡単な例として、CGIが挙げられてるだけだろ。

38 :名無しさん@お腹いっぱい。:2014/10/27(月) 20:39:57.08 ID:???.net
Mac OS XがBSD UNIXのパクリってことがまた立証されました

39 :名無しさん@お腹いっぱい。:2014/11/01(土) 00:18:37.09 ID:???.net
>>37
安全宣言を出したApple 危険な脆弱性を放置
http://www.security-next.com/052900

40 :名無しさん@お腹いっぱい。:2014/11/01(土) 02:16:13.91 ID:???.net
>>39
情報ありがとう。

>あらたに判明したのは、逆引きDNSのリソースレコードを利用し、
>コードを送り込む手法。リソースレコードが「bash」によって
>解釈されると、コードを実行されるおそれがある。

>Appleは、「ShellShock」の影響は、UNIXの高度なシステムを
>構築している場合に限られるとし、多くのユーザーが影響を
>受けないとの声明を出した

OS X は bash でDNSのリソースレコードを解釈しているのかな。

いずれにしても「念の為セキュリティアップデートは必要」と
宣言するべきだったね。

41 :名無しさん@お腹いっぱい。:2014/12/17(水) 21:30:01.53 ID:???.net
w

42 :名無しさん@お腹いっぱい。:2014/12/20(土) 10:21:12.32 ID:cZi+YHGN.net
ある日本語アプリがコンパイルしなおしてもどうしてもFedora16でないと
動かない(17以降ではだめなんだ)。そのため16のマシンが残してある
のだが、16は既に自動更新サポートがきられている。
ssh や ssl の変更は、ソースをダウンロードしてコンパイルして
入れ直して対応して問題なかったが、bash はGNUからソースを取り寄せて
コンパイルすると、バイナリのサイズがもともとの/bin/bash の
4倍ぐらいになっているほか、bash --version とかやっても
日本語でメッセージが出て来ないので嫌な予感がしたが、
ためしに従来の /bin/bash を /bin/bash.old にコピーして、
新しいソースから作ったbash を /bin/bash へと差し替えた。
ところが、再起動してログインすると、パスワードを叩いた直後に
一瞬だけシェルが出た途端に接続が切れてしまう。コンソールからでも
リモートから ssh でつないでもそうなる。つまりルートでもログインできな
くなってしまったので、レスキューディスクからブートして /bin/bash.old
を/bin/bash に戻してなんとかしたが、bash は古いもののままだ。なんとか
ならないものだろうか?

43 :名無しさん@お腹いっぱい。:2014/12/20(土) 18:02:31.84 ID:???.net
>>42
バイナリはここにありそう。
Bash脆弱性対応のめも
■FedoraCoreのRPM/SRPM入手方法
・Fedora7-17
http://archives.fedoraproject.org/pub/archive/fedora/linux/releases/
より入手可能
http://archives.fedoraproject.org/pub/archive/fedora/linux/releases/


bash-4.3 をコンパイルするには、
6.35. Readline-6.3
http://www.linuxfromscratch.org/lfs/downloads/stable/LFS-BOOK-7.6-NOCHUNKS.html#ch-system-readline
6.36. Bash-4.3
http://www.linuxfromscratch.org/lfs/downloads/stable/LFS-BOOK-7.6-NOCHUNKS.html#ch-system-bash
を参考にReadline-6.3をインストールしてから、Bash-4.3をコンパイルしてみたら?

44 :名無しさん@お腹いっぱい。:2015/01/18(日) 23:06:46.50 ID:???.net
w

45 :名無しさん@お腹いっぱい。:2015/03/27(金) 17:16:06.50 ID:???.net
w

46 :名無しさん@お腹いっぱい。:2015/11/30(月) 09:27:43.13 ID:jHl5cMUU.net
☆ 日本の核武装は早急に必須ですわ。☆
総務省の『憲法改正国民投票法』、でググってみてください。
日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、日本人の悲願である
改憲の成就が決まります。皆様方、必ず投票に自ら足を運んでください。お願い致します。

47 :名無しさん@お腹いっぱい。:2016/01/27(水) 03:08:16.03 ID:???.net
w

48 :名無しさん@お腹いっぱい。:2016/04/09(土) 10:57:05.60 ID:???.net
w

49 :名無しさん@お腹いっぱい。:2016/04/09(土) 10:57:47.36 ID:VWoTdd1M.net
>>46
お前はもう少し脳みそ武装したほうがいいよw

50 :名無しさん@お腹いっぱい。:2020/03/28(土) 17:24:06.05
ブーメラン乙

総レス数 50
13 KB
掲示板に戻る 全部 前100 次100 最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★