【セキュリティ】「GNU Bash に OS コマンドインジェクションの脆弱性」の対策


最近世間をにぎわせているBashの脆弱性。
ご多分に漏れず当サーバも該当していました。

Bashをアップデートすれば対策になるので、
以下のように実施しましょう。

▼JVNの通達
http://jvn.jp/vu/JVNVU97219505/

▼CentOS6の情報はこちら
http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html

▼Red Hat から出ているチェックコマンド

[admin@server ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
[admin@server ~]$

「vulnerable」なので脆弱性あり、ってことでしょう。

▼現在のbashのバージョンを確認

[admin@server ~]$ sudo rpm -q bash
bash-4.1.2-15.el6_4.i686
[admin@server ~]$

▼RPMはこちらから
http://rpm.pbone.net/
32bit版:「bash-4.1.2-15.el6_5.2.i686.rpm」で検索すると出る
64bit版:「bash-4.1.2-15.el6_5.2.x86_64.rpm」で検索すると出る

▼RPM取得

[admin@server ~]$ wget ftp://ftp.muug.mb.ca/mirror/centos/6.5/updates/i386/Packages/bash-4.1.2-15.el6_5.2.i686.rpm
--2014-09-29 11:21:05-- ftp://ftp.muug.mb.ca/mirror/centos/6.5/updates/i386/Packages/bash-4.1.2-15.el6_5.2.i686.rpm
=> `bash-4.1.2-15.el6_5.2.i686.rpm'
ftp.muug.mb.ca をDNSに問いあわせています... 130.179.31.46
ftp.muug.mb.ca|130.179.31.46|:21 に接続しています... 接続しました。
anonymous としてログインしています... ログインしました!
==> SYST ... 完了しました。 ==> PWD ... 完了しました。
==> TYPE I ... 完了しました。 ==> CWD (1) /mirror/centos/6.5/updates/i386/Packages ... 完了しました。
==> SIZE bash-4.1.2-15.el6_5.2.i686.rpm ... 908364
==> PASV ... 完了しました。 ==> RETR bash-4.1.2-15.el6_5.2.i686.rpm ... 完了しました。
長さ: 908364 (887K) (確証はありません)

100%[==============================================================================================================================================================>] 908,364 358K/s 時間 2.5s

2014-09-29 11:21:15 (358 KB/s) - `bash-4.1.2-15.el6_5.2.i686.rpm' へ保存終了 [908364]

[admin@server ~]$

▼RPMのコマンド
http://itpro.nikkeibp.co.jp/article/COLUMN/20060228/231208/

▼アップデートで実行

[admin@server ~]$ sudo rpm -Uvh bash-4.1.2-15.el6_5.2.i686.rpm
[sudo] password for admin:
準備中... ########################################### [100%]
1:bash ########################################### [100%]
[admin@server ~]$

▼再度チェックコマンドを実行

[admin@server ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
[admin@server ~]$

「vulnerable」が表示されなくなったのでOK

入門bash第3版 [ キャメロン・ニューハン ]

価格:3,024円
(2014/10/4 11:05時点)
感想(2件)

コメントを残す

メールアドレスが公開されることはありません。