質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.33%

Shellshockについて「teratail」で触れられていないのな何故??

解決済

回答 5

投稿 ・編集

  • 評価
  • クリップ 0
  • VIEW 1,520

NIA

score 166

最近良く聞く「Shellshock」について全然teratailで話題になっていない・・・
bashのアプデは当たり前だから質問の必要ないのかな?
[RHEL5以上]
#バージョン確認
bash --version

#パッケージ確認
rpm -qa | egrep '^bash' 

#更新
yum update bash
sudo yum update bash

[RHEL4]
#バージョン確認
bash --version

#パッケージ確認
rpm -qa | egrep '^bash' 

#更新
up2date -u bash

てか、この更新であってるよね・・・?
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 5

+3

回答になっていませんが、、

個人的な見解では、bashの脆弱性と言っても、リモートで攻撃できるかどうかが問題だと思います。

この脆弱性を使った攻撃としてCGIのインタプリタとしてbashが指定されているURLを使ったものが例に挙げられていますが、その存在自体が脆弱性と思っているので、bashのパッチを当てるより先に、そのようなURLが存在していないか確認する方を優先すべきと思います。

最近の脆弱性ネタは、発生条件や具体的な影響範囲を明確にせず、ただアップデートすればよい的な管理者の思考停止を促すようなアナウンスや記事が多いですね。

有用な記事をリンクしておきます。
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6721)

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+2

自分としては逆に、「影響が大きすぎてbashのアップデート(もしくは別シェルへの入れ替え)以外に対策手段がない」から質問になる余地も少ないのかなと考えています。

LinuxではUbuntuなど一部を除けば、/bin/shがbashという環境も多いですし、RHEL系のようにそれを簡単には変えられないこともあります。そのような環境下では、シェルスクリプト以外からでもsystem(3)を呼べばbashが起動して、今回の脆弱性の影響を受ける危険があります。

実際に、DHCPサーバも今回の影響を受けるという報告もありますし、少々大げさかもしれませんがbashの入れ替えなしに対策するには、外部に向かってポートを開けているサービスの全検証が必要かもしれません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+1

確かに。

最近は特に利用者のみなさんに共通の質問が少ないような気がしますね。


私はOSX(MacOSX)についてのリンクを張っていきます。AppleはOSXは安全とコメントしてますけどね。

OSX - CVE-2014-6271のbashの脆弱性に対応する方法 - Qiita
AppleがOS XのShellshockバグのパッチを提供 - TechCrunch
ニュース - 重大な脆弱性Shellshock、「ほとんどのOS Xユーザーは安全」とApple:ITpro


あと、bashの話なので、bashのタグを付けると良いかと思いました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

checkベストアンサー

0

RHEL4 はサポート期間が終了していますので、Extended Life Cycle Support を契約していなければ RPM は提供されません。
RHEL5 bash-3.2-33.el5_11.4.src.rpm に含まれる以下のパッチを RHEL4 bash-3.0-27.el4.src.rpm に適用すればいいです。
  bash-3.2-env-inject.patch
  bash-4.2-cve-2014-7169-0.patch
  bash-4.2-cve-2014-7169-1.patch
  bash-4.2-cve-2014-7169-2.patch

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

こんな記事がでましたね。
- 記者は「ShellShock」に触れてみた、そして震え上がった (2014/10/02) http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/093000069/

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.33%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る