米国土安全保障省のコンピューター緊急対応チーム(US―CERT)は、Linuxを含むUNIXベースのOSや米アップル のマックOS・X(テン)が影響を受ける危険性があるとの警告を発表した。
サイバーセキュリティー会社、トレイル・オブ・ビッツによると、「ハートブリード」ではパスワードやクレジットカード情報などの個人情報が盗まれる恐れはあったが、bashと異なりシステムを乗っ取ることはできなかった。
引用元: UNIX系のソフト「bash」に重大バグ、システム乗っ取りも | マネーニュース | 最新経済ニュース | Reuters.
これはねぇ、あかんやつですね。特にCGIとか要注意。
噂によると、zshもダメらしいので、shell呼び出ししてるようなスクリプトはちゃんと中身すぐに見たほうが良いですねぇ…。
詳しいことは、こちらのブログがオススメです→ bashの脆弱性がヤバすぎる件。
曰く、
CGIはパラメータを環境変数として格納しています(*2)から、HTTPリクエストヘッダをいじって
User-Agent: () { :; }; rm -rf /とかやるとゾクゾクするかもしれません。わたしは実証していませんが。
引用元: bashの脆弱性がヤバすぎる件
いやー、怖すぎる。
ちなみに、この対策の為にbashを抜く作業のことを「抜歯」と言うそうです。上手いな。
【参考資料】
- 遅くなりましたが検証。HTTP経由とDHCP経由での制御奪取もしてみました。 / GNU Bashの環境変数処理の不備により任意のコードが実行される脆弱性(CVE-2014-6271,CVE-2014-7169)に関する検証レポート http://bit.ly/1yvnIYM
- 悪意あるDHCPサーバのPoCが公開された。アクセスしたDHCPクライアント側でbashのバグを突き、好きなコマンドが起動される。http://twitter.com/HNTweets/statu/515236804920741888… https://www.trustedsec.com/september-2014shellshock-dhcp-rce-proof-concept/…
- 遅くなりましたが検証。HTTP経由とDHCP経由での制御奪取もしてみました。 / GNU Bashの環境変数処理の不備により任意のコードが実行される脆弱性(CVE-2014-6271,CVE-2014-7169)に関する検証レポート http://bit.ly/1yvnIYM
- OpenVPN servers can be vulnerable toShellshock Bash …