AHO='() { baka; }; echo manuke’ bash -c ‘echo Hi’

「ほとんどすべてのLinuxに使用されているシェル”bash”にとんでもない脆弱性(CVE-2014-6271)があるのだそうだ」…と言っても,動く人はいないだろう.

お手近なLinuxにログインできる人は 以下のコマンドを打ってみてほしい.

 AHO='() { baka; }; echo manuke' bash -c 'echo Hi'

「Hi」と出ず「manuke」と出れば,未対策.なお管理者権限は必要ない,ユーザで確認できる.

環境変数に任意のコマンドを突っ込んで実行できるということを示しているのだけど,

アホだの間抜けだの言われながらのほうが緊急性が刺激されることはよくわかった.

あなたが管理者なら

# yum list installed | grep bash

して該当のバージョン以降(bash-4.1.2-15.el6_5.1など)になっていることを確認しよう.なおパッチはbash3.x系にも配布されているし,ShellShock攻撃として実際に利用する被害が出始めているので,とにかく急いで対応すべし.

yumで管理しているなら,

# yum -y update bash

これ一発で終わる.

 

参考:bashの脆弱性がヤバすぎる件

https://x86-64.jp/blog/CVE-2014-6271

 

AHO='() { baka; }; echo manuke’ bash -c ‘echo Hi’」への3件のフィードバック

コメントは受け付けていません。