Shell Shock: UNIX系のソフト「bash」に重大バグ、システム乗っ取りも

米国土安全保障省のコンピューター緊急対応チーム(US―CERT)は、Linuxを含むUNIXベースのOSや米アップル のマックOS・X(テン)が影響を受ける危険性があるとの警告を発表した。

サイバーセキュリティー会社、トレイル・オブ・ビッツによると、「ハートブリード」ではパスワードやクレジットカード情報などの個人情報が盗まれる恐れはあったが、bashと異なりシステムを乗っ取ることはできなかった。

引用元: UNIX系のソフト「bash」に重大バグ、システム乗っ取りも | マネーニュース | 最新経済ニュース | Reuters.

これはねぇ、あかんやつですね。特にCGIとか要注意。

噂によると、zshもダメらしいので、shell呼び出ししてるようなスクリプトはちゃんと中身すぐに見たほうが良いですねぇ…。

詳しいことは、こちらのブログがオススメです→ bashの脆弱性がヤバすぎる件

曰く、

CGIはパラメータを環境変数として格納しています(*2)から、HTTPリクエストヘッダをいじって

User-Agent: () { :; }; rm -rf /

とかやるとゾクゾクするかもしれません。わたしは実証していませんが。

引用元: bashの脆弱性がヤバすぎる件

 

いやー、怖すぎる。

ちなみに、この対策の為にbashを抜く作業のことを「抜歯」と言うそうです。上手いな。

【参考資料】

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください