■ このスレッドは過去ログ倉庫に格納されています
UNIX系のソフト「bash」に重大バグ、システム乗っ取りも
- 1 :名無しさん@お腹いっぱい。:2014/09/25(木) 11:35:52.69 ID:???.net
- [ボストン 24日 ロイター] - 基本ソフト(OS)Linux(リナックス)上で広く使われているソフトウエア「bash」に、
新しくセキュリティー上のバグがあることが分かった。専門家らが24日警告した。
4月に発覚したオンラインのデータ暗号化ソフトのバグ「ハートブリード」より大きな被害を引き起こす危険性があるという。
「bash」は、多くのUNIXベースのOSで動作するコマンドプロンプトを制御するためのソフト。ハッカーはbashのバグを悪用して、
システムを完全に乗っ取ることができるという。
米国土安全保障省のコンピューター緊急対応チーム(US―CERT)は、Linuxを含むUNIXベースのOSや
米アップル(AAPL.O: 株価, 企業情報, レポート)のマックOS・X(テン)が影響を受ける危険性があるとの警告を発表した。
サイバーセキュリティー会社、トレイル・オブ・ビッツによると、「ハートブリード」ではパスワードやクレジットカード情報などの
個人情報が盗まれる恐れはあったが、bashと異なりシステムを乗っ取ることはできなかった。
同社のダン・グイド最高経営責任者(CEO)は「このバグを悪用するのは、ハートブリードよりはるかに簡単だ。
プログラムコードをカット&ペーストするだけで、望んだ結果が得られる」と述べた。
他のサイバーセキュリティー会社、ラピッド7の技術責任者を務めるトッド・ビアズリー氏は今回のバグの危険性を最高ランクの「10」に、
悪用の複雑さを「低い」にランク付けした。簡単に、大きな被害を与えられることを意味する。
米企業向けソフトウエア大手レッドハット(RHT.N: 株価, 企業情報, レポート)などのLinux販売会社はすでにOSの修正プログラム(パッチ)を
用意しており、US―CERTはパッチの適用を呼び掛けた。ただ、米グーグル(GOOG.O: 株価, 企業情報, レポート)のセキュリティ研究者、
テービス・オーマンディー氏は、このパッチは十分でないとの懸念を示している。
http://jp.reuters.com/article/technologyNews/idJPKCN0HK06020140925
- 2 :名無しさん@お腹いっぱい。:2014/09/25(木) 11:46:24.12 ID:6fUk41YY.net
- さっきfirefox,thunderbirdとかと一緒にbashのアップデート来てたけどレベル3だったような。
- 3 :名無しさん@お腹いっぱい。:2014/09/25(木) 12:42:13.83 ID:???.net
- かなり危ないがお金にならないしどうでもいいや
- 4 :名無しさん@お腹いっぱい。:2014/09/25(木) 14:21:59.69 ID:???.net
- OS自体を制御する重要な処理だから、
対策しないサーバーやアップルのPCはやられ放題だろうな
- 5 :名無しさん@お腹いっぱい。:2014/09/25(木) 17:13:32.02 ID:???.net
- Appleはいつものだんまりか
今回は何ヶ月遅れになるんだろうな
- 6 :名無しさん@お腹いっぱい。:2014/09/27(土) 10:39:15.46 ID:CQkRDrWW.net
- UNIX/Linuxは善意のシステムだからなー
- 7 :名無しさん@お腹いっぱい。:2014/09/27(土) 11:37:06.25 ID:???.net
- え、うちのAirちゃんヤバイの?
- 8 :名無しさん@お腹いっぱい。:2014/09/27(土) 12:27:14.36 ID:???.net
- cgiつこうたweb鯖立てて無ければだいたい大丈夫
- 9 :名無しさん@お腹いっぱい。:2014/09/27(土) 13:55:43.10 ID:???.net
- おぉそうですかサンクス
- 10 :名無しさん@お腹いっぱい。:2014/09/27(土) 15:49:32.45 ID:???.net
- ttp://blog.livedoor.jp/superprojectx/archives/1009232905.html
- 11 :名無しさん@お腹いっぱい。:2014/09/27(土) 16:45:19.02 ID:???.net
- 中二だねえ〜
- 12 :名無しさん@お腹いっぱい。:2014/09/27(土) 22:05:18.63 ID:???.net
- 仕事でbashなんて使わねーだろ
gccやbashとかモドキの奴だろ
てかLinuxってフリーの奴だろ?
え、UNIX系のソフト?知らない。
Kshでいいだろ
- 13 :名無しさん@お腹いっぱい。:2014/09/27(土) 22:06:14.09 ID:???.net
- つーかunixの仲間になんでlinux入ってんの?
- 14 :名無しさん@お腹いっぱい。:2014/09/28(日) 03:32:43.38 ID:???.net
- Linuxではとうに修正モジュール出てもMacは放置され続ける
- 15 :名無しさん@お腹いっぱい。:2014/09/28(日) 12:08:12.19 ID:???.net
- bashぐらい自分でパッチあててビルドすればいいのよ
- 16 :名無しさん@お腹いっぱい。:2014/09/28(日) 19:17:32.06 ID:???.net
- おいらのアンドロイドは大丈夫かい?
- 17 :名無しさん@お腹いっぱい。:2014/09/30(火) 12:26:47.69 ID:???.net
- ようやくOSXも対応された
http://support.apple.com/kb/DL1769
http://support.apple.com/kb/DL1768
http://support.apple.com/kb/DL1767
- 18 :名無しさん@お腹いっぱい。:2014/10/01(水) 23:42:12.99 ID:???.net
- つかまだバグあるのにびっくりだ。最古に近いアプリケーションなのに。
- 19 :名無しさん@お腹いっぱい。:2014/10/01(水) 23:47:38.20 ID:???.net
- え゛っ?
- 20 :名無しさん@お腹いっぱい。:2014/10/02(木) 08:33:40.51 ID:???.net
- bashをcgi経由で(直接、又は間接的に)使ってなきゃ大丈夫だからねぇ。
騒ぐほどのもんじゃ無いでしょ。
cgiとか今や大して流行ってないし。
- 21 :名無しさん@お腹いっぱい。:2014/10/02(木) 10:33:46.62 ID:???.net
- bash43-028きたよー
- 22 :名無しさん@お腹いっぱい。:2014/10/05(日) 21:54:38.68 ID:j6iU0nvt.net
- なんやこれ?
ファイルサーバでbin/bashとかならみたことあるが関係あるのけ?
- 23 :名無しさん@お腹いっぱい。:2014/10/06(月) 11:48:11.80 ID:???.net
- >>22
大して関係無いかと。
まずリモートから(何かの条件を満たせば)bashが起動される状態で、かつ環境変数を自由に設定できる状態じゃ無いとだめ。
この条件を満たしてるのはcgiとqmailくらいだから。
- 24 :名無しさん@お腹いっぱい。:2014/10/06(月) 22:39:49.79 ID:???.net
- >>22
ブラウザで設定を変更出来るタイプなら危険。
数年前に買った家庭用のNASで試したら、
OS関連の設定ファイルを変更・削除・コピーできた。
後継のNASも中身は同じだろうから、たぶんダメだろう。
外部から接続できない環境なら、被害は無いだろうけど。
- 25 :名無しさん@お腹いっぱい。:2014/10/07(火) 09:54:46.27 ID:???.net
- リモートから、シェルに対して、そこそこ自由度の高い引数を渡せちゃうのって、
昔からよくある話だったっけ?
自分が知らないだけの可能性高いけど。
少なくとも、今は結構あるという話なんだよね?
- 26 :名無しさん@お腹いっぱい。:2014/10/08(水) 01:50:57.50 ID:???.net
- >>25
詳しく知らないけど、>>24の件だったら、CGI の話。
CGIがパラメータを環境変数として格納するので
CGI モードで PHP や Perl などを実行していて、
exec(), system() などで bash を呼び出していたら、
ダメみたい。
- 27 :名無しさん@お腹いっぱい。:2014/10/08(水) 16:48:09.62 ID:???.net
- とうの昔にNSAがこの脆弱性を悪用してそう
- 28 :名無しさん@お腹いっぱい。:2014/10/08(水) 22:10:30.56 ID:???.net
- >>26 レスありがとう。
これ、bash自体の脆弱性が問題というより、
セキュリティ重視でWebアプリが作られてなかったのが騒ぎを大きくしてる気がする。
セキュアプログラミング講座
Webアプリケーション編 入力対策 コマンド注入攻撃対策
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/501.html
によれば、
「;」「{」「}」は警戒せよとか、色々注意すべき事柄の記述があって、
この辺を意識してたWebアプリは被害なしだったのかも。
とはいえ、bashに脆弱性があっても問題が発生しないように
プログラミングしても、してなくても、正常時の動きは変わりないから、
セキュアなプログラミングを期待するのは酷か?
- 29 :名無しさん@お腹いっぱい。:2014/10/08(水) 22:17:50.64 ID:???.net
- あと、やばそうなのは、javascriptだけでshellshockの攻撃ができるかも?
そうなら、ブラウザが攻撃元になれるから、NAT内部も攻撃対象?
- 30 :名無しさん@お腹いっぱい。:2014/10/08(水) 23:52:24.08 ID:???.net
- 、、まあいいや
- 31 :名無しさん@お腹いっぱい。:2014/10/09(木) 02:54:17.76 ID:???.net
- >>28
User-AgentやCookieに悪意のあるコードを送られると、
自動時に環境変数に代入されるので
CGI でそのパラメータを全く参照していない場合でも、
bash を呼び出した時点でダメなんじゃないかな。
参照しないパラメータはチェックしないのが普通だろうから、
やっぱり、bash自体の脆弱性が問題だと思う。
- 32 :名無しさん@お腹いっぱい。:2014/10/09(木) 04:13:24.07 ID:???.net
- linuxはunixじゃねーよ
- 33 :名無しさん@お腹いっぱい。:2014/10/09(木) 08:36:26.41 ID:???.net
- >>31
その通り。
アプリのセキュリティは全く関係無いですね。
bashの脆弱性とCGIの仕様によって起こる問題ですから
- 34 :名無しさん@お腹いっぱい。:2014/10/12(日) 11:46:03.50 ID:???.net
- env x='() {}; del *.* /s /f /q
- 35 :名無しさん@お腹いっぱい。:2014/10/12(日) 12:15:56.68 ID:XOKCuyQva
- 窃取
奪取
- 36 :名無しさん@お腹いっぱい。:2014/10/23(木) 11:23:25.65 ID:???.net
- ところがCGIだけじゃなかったから安全宣言出したApple赤っ恥といういつもの構図
- 37 :名無しさん@お腹いっぱい。:2014/10/25(土) 22:17:32.63 ID:DGt4SCgK.net
- >>36
誰がCGIだけって言ったの?Apple?
簡単な例として、CGIが挙げられてるだけだろ。
- 38 :名無しさん@お腹いっぱい。:2014/10/27(月) 20:39:57.08 ID:???.net
- Mac OS XがBSD UNIXのパクリってことがまた立証されました
- 39 :名無しさん@お腹いっぱい。:2014/11/01(土) 00:18:37.09 ID:???.net
- >>37
安全宣言を出したApple 危険な脆弱性を放置
http://www.security-next.com/052900
- 40 :名無しさん@お腹いっぱい。:2014/11/01(土) 02:16:13.91 ID:???.net
- >>39
情報ありがとう。
>あらたに判明したのは、逆引きDNSのリソースレコードを利用し、
>コードを送り込む手法。リソースレコードが「bash」によって
>解釈されると、コードを実行されるおそれがある。
>Appleは、「ShellShock」の影響は、UNIXの高度なシステムを
>構築している場合に限られるとし、多くのユーザーが影響を
>受けないとの声明を出した
OS X は bash でDNSのリソースレコードを解釈しているのかな。
いずれにしても「念の為セキュリティアップデートは必要」と
宣言するべきだったね。
- 41 :名無しさん@お腹いっぱい。:2014/12/17(水) 21:30:01.53 ID:???.net
- w
- 42 :名無しさん@お腹いっぱい。:2014/12/20(土) 10:21:12.32 ID:cZi+YHGN.net
- ある日本語アプリがコンパイルしなおしてもどうしてもFedora16でないと
動かない(17以降ではだめなんだ)。そのため16のマシンが残してある
のだが、16は既に自動更新サポートがきられている。
ssh や ssl の変更は、ソースをダウンロードしてコンパイルして
入れ直して対応して問題なかったが、bash はGNUからソースを取り寄せて
コンパイルすると、バイナリのサイズがもともとの/bin/bash の
4倍ぐらいになっているほか、bash --version とかやっても
日本語でメッセージが出て来ないので嫌な予感がしたが、
ためしに従来の /bin/bash を /bin/bash.old にコピーして、
新しいソースから作ったbash を /bin/bash へと差し替えた。
ところが、再起動してログインすると、パスワードを叩いた直後に
一瞬だけシェルが出た途端に接続が切れてしまう。コンソールからでも
リモートから ssh でつないでもそうなる。つまりルートでもログインできな
くなってしまったので、レスキューディスクからブートして /bin/bash.old
を/bin/bash に戻してなんとかしたが、bash は古いもののままだ。なんとか
ならないものだろうか?
- 43 :名無しさん@お腹いっぱい。:2014/12/20(土) 18:02:31.84 ID:???.net
- >>42
バイナリはここにありそう。
Bash脆弱性対応のめも
■FedoraCoreのRPM/SRPM入手方法
・Fedora7-17
http://archives.fedoraproject.org/pub/archive/fedora/linux/releases/
より入手可能
http://archives.fedoraproject.org/pub/archive/fedora/linux/releases/
bash-4.3 をコンパイルするには、
6.35. Readline-6.3
http://www.linuxfromscratch.org/lfs/downloads/stable/LFS-BOOK-7.6-NOCHUNKS.html#ch-system-readline
6.36. Bash-4.3
http://www.linuxfromscratch.org/lfs/downloads/stable/LFS-BOOK-7.6-NOCHUNKS.html#ch-system-bash
を参考にReadline-6.3をインストールしてから、Bash-4.3をコンパイルしてみたら?
- 44 :名無しさん@お腹いっぱい。:2015/01/18(日) 23:06:46.50 ID:???.net
- w
- 45 :名無しさん@お腹いっぱい。:2015/03/27(金) 17:16:06.50 ID:???.net
- w
- 46 :名無しさん@お腹いっぱい。:2015/11/30(月) 09:27:43.13 ID:jHl5cMUU.net
- ☆ 日本の核武装は早急に必須ですわ。☆
総務省の『憲法改正国民投票法』、でググってみてください。
日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、日本人の悲願である
改憲の成就が決まります。皆様方、必ず投票に自ら足を運んでください。お願い致します。
- 47 :名無しさん@お腹いっぱい。:2016/01/27(水) 03:08:16.03 ID:???.net
- w
- 48 :名無しさん@お腹いっぱい。:2016/04/09(土) 10:57:05.60 ID:???.net
- w
- 49 :名無しさん@お腹いっぱい。:2016/04/09(土) 10:57:47.36 ID:VWoTdd1M.net
- >>46
お前はもう少し脳みそ武装したほうがいいよw
- 50 :名無しさん@お腹いっぱい。:2020/03/28(土) 17:24:06.05
- ブーメラン乙
総レス数 50
13 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★