2014/09/30

[CVE-2014-6271]bashの脆弱性対応したログ

騒がれてるbashのバグ対応したときのログ
JPCERTコーディネーションセンター:GNU bash の脆弱性に関する注意喚起

某VPSサーバを契約しているので対応。

1.君は何ものか確認

# cat /etc/redhat-release

CentOS release 6.5 (Final)

2.脆弱性あるか確認

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

vulnerable
this is a test

vulnerableと表示されるので問題ありの模様。

3.対処する

# yum update bash

Loaded plugins: fastestmirror
Determining fastest mirrors
epel/metalink | 6.8 kB 00:00
* base: ftp.nara.wide.ad.jp
* epel: ftp.jaist.ac.jp
* extras: ftp.nara.wide.ad.jp
* updates: ftp.nara.wide.ad.jp
base | 3.7 kB 00:00
epel | 4.4 kB 00:00
epel/primary_db | 6.3 MB 00:03
extras | 3.3 kB 00:00
extras/primary_db | 19 kB 00:00
isv_ownCloud_community | 1.2 kB 00:00
isv_ownCloud_community/primary | 2.0 kB 00:00
isv_ownCloud_community 3/3
updates | 3.4 kB 00:00
updates/primary_db | 5.3 MB 00:03
vz-base | 951 B 00:00
vz-updates | 951 B 00:00
Setting up Update Process
Resolving Dependencies
–> Running transaction check
—> Package bash.x86_64 0:4.1.2-15.el6_4 will be updated
—> Package bash.x86_64 0:4.1.2-15.el6_5.2 will be an update
–> Finished Dependency Resolution

Dependencies Resolved

================================================================================
Package Arch Version Repository Size
\================================================================================
Updating:
bash x86_64 4.1.2-15.el6_5.2 updates 905 k

Transaction Summary
\================================================================================
Upgrade 1 Package(s)

Total download size: 905 k

Is this ok [y/N]: y

Downloading Packages:
bash-4.1.2-15.el6_5.2.x86_64.rpm | 905 kB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : bash-4.1.2-15.el6_5.2.x86_64 1/2
Cleanup : bash-4.1.2-15.el6_4.x86_64 2/2
Verifying : bash-4.1.2-15.el6_5.2.x86_64 1/2
Verifying : bash-4.1.2-15.el6_4.x86_64 2/2

Updated:
bash.x86_64 0:4.1.2-15.el6_5.2

Complete!

4.脆弱性あるか再度確認

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

this is a test

解消した模様。おわり。

参考

http://unix.stackexchange.com/questions/157329/what-does-env-x-command-bash-do-and-why-is-it-insecure

https://access.redhat.com/solutions/1207723

http://soraxism.com/soraxism/blog/cve-2014-6271%E3%81%AEbash%E3%81%AE%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96-2

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

JavaScriptを有効にしてください。
あるいは下記手順で投稿できます。
1.「トークンコード取得」を押すと枠内にトークンコードが表示されます
2.表示されたトークン文字を「投稿確認トークン入力」へ入力します

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">