Bashに深刻な脆弱性「Shellshock」が発覚!至急アップデートを

こんにちは。Bashの脆弱性が発見され、非常に話題になっていますね。今回話題となっているのは環境変数に仕込まれたコードをリモートで操作される脆弱性(CVE-2014-6271、CVE-2014-7169、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187)です。『Shellshock』とも称されていますね。bashがUNIX系やUNIライクなOSで非常に幅広く使用されていることから影響も大きいです。


まずはBashのバージョンを確認とアップデートを

2014年10月4日現在では各ディストリビューションでパッチが当てられたBashが公開されていると思います。まずは自分のシステムで使用しているBashのバージョンを調べる所からはじめましょう。主要なディストロについては下記に情報を記載しました。

Ubuntu

Ubuntuの/bin/shはデフォルトではbashではなくdashですが、設定を変更している場合は要注意。またセキュリティの観点からもbashのアップデートをオススメします。
情報のURL
http://www.ubuntu.com/usn/usn-2363-2/
バージョン確認のコマンド

$ dpkg -l bash

修正バージョン
4.3-7ubuntu1.1 以上

Debian

Debianの/bin/shはデフォルトではbashではなくdashですが、設定を変更している場合は要注意。またセキュリティの観点からもbashのアップデートをオススメします。
情報のURL
https://www.debian.org/security/2014/dsa-3035
バージョン確認のコマンド

$ dpkg -l bash

修正バージョン
wheezyでは4.2+dfsg-0.1+deb7u3 以上

CentOS 5

情報のURL
http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html
バージョン確認のコマンド

$ rpm -q bash

修正バージョン
bash-3.2-33.el5_10.4.i386 以上
bash-3.2-33.el5_10.4.x86_64 以上

CentOS 6

情報のURL
http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html
バージョン確認のコマンド

$ rpm -q bash

修正されたバージョン
bash-4.1.2-15.el6_5.2.i686 以上
bash-4.1.2-15.el6_5.2.x86_64 以上

CentOS 7

情報のURL
http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html
バージョン確認のコマンド

$ rpm -q bash

修正されたバージョン
bash-4.2.45-5.el7_0.4.x86_64 以上

Arch Linux

情報のURL
https://lists.archlinux.org/pipermail/arch-security/2014-September/000099.html
バージョン確認のコマンド

$ pacman -Q bash

修正されたバージョン
4.3.026-1 以上

Gentoo Linux

情報のURL
https://www.gentoo.org/security/en/glsa/glsa-201409-10.xml
バージョン確認のコマンド

$ equery list bash

修正されたバージョン
3.1_p18-r1 以上
3.2_p52-r1 以上
4.0_p39-r1 以上
4.1_p12-r1 以上
4.2_p48-r1 以上

ディストリビューションで対応していない場合

GNU Projectが公開しているGNU bashがhttp://ftp.gnu.org/gnu/bash/にてパッチを公開していますので、適用を検討してください。

バージョン以外での確認方法は?

とにかく自分の使っているbashが脆弱性の対象になっているか確認したい場合は以下コマンドを実行して確認して下さい。

$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'

脆弱性の対象となる場合
出力例

vulnerable
hello

修正されている場合
出力例

hello

bash以外のshellを使う対策も

今回の脆弱性についての対策としてはshellをbash以外のものに変更するというのも一つの手段です。もちろん、他の脆弱性が潜んでいない保証はできませんが個人的には代替としてはzshが良いと思います。

最後に

上記で紹介したディストロ以外でもシステムのアップデートを行い最新のパッケージにアップデートして下さい。常にセキュリティに関心を持ち、システムを最新の状態に保とうとする意識が何より重要だと改めて実感しました。

Sponsored Link