hagetak's blog

どうも、はげたかです。

今日の一言:カテゴリ分けをしっかりしたらPVあがるかな?

【絶対にするな】MacOS用 bashの脆弱性の対策 updateできないよね? (shellshock)【ログインできなくなる】

bash脆弱性について(shellshock)

以下の記事の通り、 http://jp.reuters.com/article/marketsNews/idJPL3N0RQ03320140925 http://japan.zdnet.com/security/analysis/35054245/

注意

絶対にこのようなことは対策はしないで下さい。 ログインシェルが bash になっているため、ログインができなくなります。 万が一、このようなことをがあったときように、次の記事にその対応を書きます。

実際にやってみた

以下のサイトにこの脆弱性について試せるコマンドがある。 https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

以下のコマンドを打った結果...

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

2行目の vulnerable が出力される。これが今回の問題らしい? ぶっちゃけCGIとか使わないけど一応対策をしておく。

MacOSでの対策

MacOS用のパッチが見当たらないため、とりあえず自分なりの対策をしておく。

自分はzshユーザなので、bashはいらない。ということで、bashの権限を外しておく。 これ、デフォの人の場合はどうなっちゃうかわからないので気をつけて下さい. 何やってるかわからないって人も気をつけて下さい。 実行は自己責任です。

% which bash
/bin/bash

% cd /bin/

% sudo chmod a-rwx bash
 

これを行えば、bashは使えなくなる。(適当)

先ほどのコマンドを打ってみる。

% env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
env: bash: Permission denied

大丈夫だね。これを実行した時の支障は今のところわからないけど、これでいいっしょ。

※ 対策は自己責任で