LinuxやMac OS XなどUNIX系OSで使われているシェルの「bash」(Bourne Again Shell)に重大な脆弱性が見つかった。
bashの脆弱性とは?
この脆弱性は攻撃者がbashにコマンドを送って任意のコードを実行できる可能性があるというもの。
悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまうようです。
かなりの影響度と及ぶ範囲の広さ、重大性から「Shellshock」と名付けられて恐れられています。
(Shellshockとは、砲弾のようなショックのこと)
なぜ、重大で深刻な問題とされているかと言うと、WebサーバがCGIを実行する際の受け皿でbashが利用されていることが多いからというもの。
具体的には掲示板やチャットなどのCGIが動いているサーバはこの脆弱性を受けて情報を盗み見ることもできるとのこと。
一部の技術者はパスの内容を表示することもできたという情報が。
9月24日に修正パッチが公開されていて、RedHatやDebianなどの主要Linuxディストリビューターも提供を行っている。
しかも、この24日パッチで
CVE-2014-6271
へは対処できたものの
CVE-2014-7169
という脆弱性も残っていることが判明して、追加パッチが26日に公開されていたりするという慌てぶり。
脆弱性への対策、対応方法は?
この脆弱性への対策としては
- bashを新しいバージョンに更新する
- bashを代替シェルに入れ替える
- 変数サービスへのアクセスを制限する
- 脆弱性のあるサービスへのインプットにフィルタをかける
このあたりが対応策となっているようです。
サーバ管理者は至急対策をする必要があることだけは明確です。
Mac OS Xは大丈夫なの?
ここでちょっと気になるのが、bashはMac OS Xでも使われているという点。
Mac OS Xは普通のクライアントPCで使われているOSです。
一般ユーザーがbashの脆弱性に対して何らかの対応をするとは思えないので、OSのセキュリティアップデートが必要かと。
なんて、思ったところ
「デフォルトのOS Xは安全」と、Appleがコメントしているようです。
「OS Xは、デフォルトの状態ではシステムは安全であり、ユーザーが高度なUNIXサービスを設定していない限り、リモートからのbash悪用にはさらされない。高度なUNIXユーザー向けのソフトウェアアップデートの提供を急ぐ」
最近iPhone、iPad効果もあって、Macを購入する人が増えているとか。
iPhoneとMacbook Airなんて超相性良さそうですしね。
そんな人たちも通常OSはデフォルトの状態で使っているはずなので、このコメントで一安心というところですね。
コメント