他サイト更新RSSぴぽぺ速報最新記事

シェルプログラム「Bash」にヤバすぎる脆弱性。急いでyum updateしよう

このエントリーをはてなブックマークに追加 LINEで送る

1: ゆでたてのたまご ★@\(^o^)/ 2014/09/25(木) 11:35:22.83 ID:???0.net

多くのUNIXおよびLinuxのユーザーに利用されている「Bourne Again SHell(Bash)」に重大なセキュリティホールが発見された。

23: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:12:49.70 ID:JMuW8spbi.net

き……脆弱性…

3: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:36:38.90 ID:6bSOobBc0.net

Linuxってパッチあてることに関心のない奴多そう

4: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:39:28.65 ID:8RMzXIRE0.net

>>3
逆にバシバシあてる

21: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:08:50.51 ID:1n76YkLq0.net

>>4
その面倒さを知らないまま、いろんな環境入れまくって自慢する奴がいるのも現実

9: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:48:41.02 ID:3BnlHN0V0.net

別にbashにセキュリティホールがあろうとなかろうとユーザー入力をそのまま評価してシェルに渡すようなWebアプリケーションは危険だよな

44: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:41:43.90 ID:Yo+GPTVT0.net

>>9
ユーザーが入力した物をそのまま渡してなんぼの物もあるので
アプリケーション側の設計を見直すだけではどうにもならない場合がある。
今回のは「シェルのコマンド用のエスケープ」を施しても抜け穴があるし。

10: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:53:58.69 ID:6g4DXlJJ0.net

今日のアップデートがそれだったか。
Linuxは速いね。

15: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:58:01.32 ID:KTLl/3fi0.net

相変わらずlinuxはバグだらけだな
みんなWindowsサーバーに逃げちゃったよ

18: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:03:42.24 ID:ThOy9ln40.net

>>15
Windowsはバグ連発どころか
つい最近、Windows UpdateでOS起動できなくなるウイルスばら撒いたやんけw

17: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:03:17.80 ID:ihi4EFk+0.net

なんだかんだでLinuxはWindowsより致命的なバグが多い

19: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:07:06.01 ID:g5RvG8AW0.net

>>17
致命的といえば、何かあるとすぐ延々と再起動を繰り返させ
起動すらも失敗させるWindowsのほうだろ

20: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:07:38.98 ID:6bSOobBc0.net

英語も出来ないくせにLinuxとか噴飯モノだけどな

22: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:11:33.30 ID:LYL4mcxYO.net

LinuxじゃなくてBashの脆弱性だろ。
俺はNetBSDだがBash使ってる。

29: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:18:57.87 ID:pKoWYwnI0.net

馬鹿ドザがシャシャリ出てくる
自分の脆弱性をどうにかしろクズ

53: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 13:55:06.35 ID:TTZcO4Oo0.net

これMacもやばそうだな
Linux使ってる奴は意識高そうだが、マカーなんて今やアホばかりだろ?
どうすんだこれ

54: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 13:57:07.23 ID:tDcfhAmU0.net

>>53
なぜかWindows叩きを始めます

56: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 14:11:49.09 ID:EYOJ/Mfc0.net

macの10.6.8の俺はどうすればいいんだ…(´・ω・`)

62: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 15:31:18.23 ID:GSOzNRIN0.net

Appleおわた・・・

99: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 19:03:26.61 ID:1BRWakJW0.net

RedHat系は先週にはパッチ当てver(穴残ってるが)リリース済みだったしな
多分一番遅いのはMacOSだろ

25: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:15:03.60 ID:RngjZc410.net

バッチこいよー!

14: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:57:35.70 ID:PuuGmO3J0.net

そこでkshですよ。

8: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:45:57.33 ID:0qPfnbts0.net

tcshにかぎる

49: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:59:50.75 ID:SzS3QycP0.net

ナウなヤングはzsh
俺はずっとtcsh

33: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:20:51.74 ID:GyX5lsD30.net

zsh 最 強 伝 説

7: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 11:45:23.57 ID:DroyLTmX0.net

zsh使ってる奴はただ周りが使ってるから俺も使ってるってだけど

28: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:18:08.97 ID:8TVVBEZn0.net

これyumのアップデートで大丈夫?

30: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:19:13.77 ID:1n76YkLq0.net

>>28
もう新しいのは来てる
もう少ししたらさらにちゃんとしたのが来るはず

32: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:19:47.93 ID:8TVVBEZn0.net

>>30
サンキュ

46: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:51:58.54 ID:X8x5ImE00.net

今、
sudo apt-get update
sudo apt-get upgrade
したら、bashが更新された。

個人PCならお気楽に更新できるけど、サーバーとかだと色々面倒臭いかもな。

65: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 15:44:32.28 ID:RSESlayz0.net

>>46
重大な部分だものな。場合によっては自作シェルが動かなくなるかもしれんし。
とはいえ既知のセキュリティホールを放置もできん。

47: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:55:31.10 ID:X8x5ImE00.net

インターネットにつながってないなら気にしなくていいし、
つながってるならapt-getで簡単に更新できる。
むしろ、サーバーとかだと、更新後の検証がメンドイ。
もっとも、そこは本来、ウィンドウズでも同じはずだけどな。

51: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 13:31:49.97 ID:RUFsvvJS0.net

とりあえず5台のサーバを yum update して回った。再起動とかは特にいらないよね。

52: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 13:39:23.98 ID:Yo+GPTVT0.net

>>51
Red Hat系なら
ttps://access.redhat.com/solutions/1207723
再起動できるなら再起動するのが安全で、できないなら/sbin/ldconfigを実行するのかな。

48: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 12:58:54.54 ID:Mrcuo7RC0.net

外からbash使えるようにしているcgiとかは狙われるね

63: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 15:36:17.11 ID:U6E2NkBy0.net

cgiの中からシェルコマンド呼ぶような作り? なんて相当なやっつけ仕事してたら、そりゃ色々問題でるわな。

66: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 15:45:47.45 ID:iQ0Z5P2g0.net

脆弱性なんて必死になって探さない限り見つからない

だが必死になって探してるヤツが大勢いるというのもまた事実

74: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:20:40.90 ID:U6E2NkBy0.net

cgiの中で外部コマンド呼んでるだけでも該当みたいだな。
ディスク容量を示すレンタル鯖のcgiとか、そういう作りにしがちかも
アップローダーやWebメールなんかもあるかもな。

ググれば手口の解説でてくんな 手口が公のもとになった今、凄腕ハッカーでなくてもこれ、やりたい放題やん
串かますとか、チマチマした事しないで、ログでIPバレない様にログごと消しちゃえばええやんw rm -rf / とか最後に入れて。

これ結構デカい穴だぞ

89: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 17:04:24.58 ID:U6E2NkByI.net

これは該当するサーバーかなりあるし、なによりも手口が簡単。基本的な知識があれば誰でも出来る。愕くほど簡単

78: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:31:21.38 ID:aFXY9cX40.net

ちょ、User-Agentとかちょっとヘッダーいじってリクエストするだけで
ヤバイコマンドが実行し放題なの?マジかよ
rm -rf /とかされまくりじゃないの?

79: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:33:38.07 ID:ba6MtFSG0.net

>>78
web server用のユーザのログインシェルをdashとかにしてない奴が悪い。

75: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:27:01.10 ID:ZEhMm5bU0.net

うお
随分枯れたシェルがやらかしたな

73: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:18:31.73 ID:HJq4iEU40.net

勘弁してくれ
鯖缶の俺にはきつすぎずニュース
レッドハット、セントなんて何台あるんだよ
200以上は固い

80: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:38:05.95 ID:bSfIo6pn0.net

実際、webサーバー以外では問題にはならんでしょ。
すぐに対応が必要な人は可哀想だが。

83: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:43:49.63 ID:eb5/jl4p0.net

>>80
シェルログイン許可してるサービス(有料or学術系)なんかは
シェルサービス一時停止かねー

84: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:49:19.09 ID:ba6MtFSG0.net

>>83
いやこれは上位アクセス権限を奪われる穴じゃないのでそういう処置は必要ない。
アクセス権限通りのスクリプトしか実行できない。

87: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 16:50:39.69 ID:eb5/jl4p0.net

>>84
あーなるほど
sudo的振る舞いするcgi系があかんのか

92: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 17:38:01.07 ID:3AUu4Hse0.net

某都銀なんかcsh使用禁止にしてbashに統一したばかりだ。
どうづんだろw。

93: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 17:38:42.00 ID:eb5/jl4p0.net

大体何年放置してきたんだよ、と。

気づいてた連中は情報抜き放題ってわけだよなぁ。

94: 名無しさん@0新周年@\(^o^)/ 2014/09/25(木) 17:40:43.65 ID:U6E2NkByI.net

世の中に恨みがあるIT土方崩れは、今こそ復讐の時だなw

関連:BASHの脆弱性でCGIスクリプトにアレさせてみました

sosu



このエントリーをはてなブックマークに追加 LINEで送る
↑この記事をみんなに広めよう↑

↓ランキングクリックよろしくお願いします↓
 にほんブログ村 2ちゃんねるブログ 2ちゃんねる(ニュース)へ にほんブログ村 2ちゃんねるブログ 2ちゃんねる(ゲーム)へ

コメントをどうぞ

メールアドレス
コメント本文

  • あなたのコメントが、更にこの記事をおもしろくします。

プロフィール

PipopeFavicon

ぴぽぺ速報です。

下らないニュース、
おもしろい事件、
ゲームなど色々扱っております。
1日約70記事です。

Twitter
RSS

↓ランキングクリックよろしくお願いします↓
 にほんブログ村 2ちゃんねるブログ 2ちゃんねる(ニュース)へ にほんブログ村 2ちゃんねるブログ 2ちゃんねる(ゲーム)へ

新着情報

逆アクセスランキング

アクセスカウンター

  • 5現在の記事:
  • 1478158総閲覧数:
  • 78今日の閲覧数:
  • 252昨日の閲覧数:
  • 529515総訪問者数:
  • 48今日の訪問者数:
  • 114昨日の訪問者数:
  • 126一日あたりの訪問者数:
  • 1現在オンライン中の人数:

genzou1919 world