Shellshockについて「teratail」で触れられていないのな何故？？

最近良く聞く「Shellshock」について全然teratailで話題になっていない・・・
bashのアプデは当たり前だから質問の必要ないのかな？

lang
1[RHEL5以上]
2#バージョン確認
3bash --version
4
5#パッケージ確認
6rpm -qa | egrep '^bash' 
7
8#更新
9yum update bash
10sudo yum update bash

lang
1[RHEL4]
2#バージョン確認
3bash --version
4
5#パッケージ確認
6rpm -qa | egrep '^bash' 
7
8#更新
9up2date -u bash

てか、この更新であってるよね・・・？

行動規範の内容に同意します

回答5件

回答になっていませんが、、

個人的な見解では、bashの脆弱性と言っても、リモートで攻撃できるかどうかが問題だと思います。

この脆弱性を使った攻撃としてCGIのインタプリタとしてbashが指定されているURLを使ったものが例に挙げられていますが、その存在自体が脆弱性と思っているので、bashのパッチを当てるより先に、そのようなURLが存在していないか確認する方を優先すべきと思います。

最近の脆弱性ネタは、発生条件や具体的な影響範囲を明確にせず、ただアップデートすればよい的な管理者の思考停止を促すようなアナウンスや記事が多いですね。

有用な記事をリンクしておきます。
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6721)

投稿2014/09/30 16:07

hogetaro

総合スコア26

自分としては逆に、「影響が大きすぎてbashのアップデート（もしくは別シェルへの入れ替え）以外に対策手段がない」から質問になる余地も少ないのかなと考えています。

LinuxではUbuntuなど一部を除けば、/bin/shがbashという環境も多いですし、RHEL系のようにそれを簡単には変えられないこともあります。そのような環境下では、シェルスクリプト以外からでもsystem(3)を呼べばbashが起動して、今回の脆弱性の影響を受ける危険があります。

実際に、DHCPサーバも今回の影響を受けるという報告もありますし、少々大げさかもしれませんがbashの入れ替えなしに対策するには、外部に向かってポートを開けているサービスの全検証が必要かもしれません。

投稿2014/10/01 00:36

maisumakun

総合スコア145183

確かに。

最近は特に利用者のみなさんに共通の質問が少ないような気がしますね。

私はOSX(MacOSX)についてのリンクを張っていきます。AppleはOSXは安全とコメントしてますけどね。

OSX - CVE-2014-6271のbashの脆弱性に対応する方法 - Qiita
AppleがOS XのShellshockバグのパッチを提供 - TechCrunch
ニュース - 重大な脆弱性Shellshock、「ほとんどのOS Xユーザーは安全」とApple：ITpro

あと、bashの話なので、bashのタグを付けると良いかと思いました。

投稿2014/09/30 11:35

argius

総合スコア9388

こんな記事がでましたね。

記者は「ShellShock」に触れてみた、そして震え上がった (2014/10/02) http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/093000069/

投稿2014/10/01 21:58

katoy

総合スコア22324

ベストアンサー

RHEL4 はサポート期間が終了していますので、Extended Life Cycle Support を契約していなければ RPM は提供されません。
RHEL5 bash-3.2-33.el5_11.4.src.rpm に含まれる以下のパッチを RHEL4 bash-3.0-27.el4.src.rpm に適用すればいいです。
bash-3.2-env-inject.patch
bash-4.2-cve-2014-7169-0.patch
bash-4.2-cve-2014-7169-1.patch
bash-4.2-cve-2014-7169-2.patch

投稿2014/10/01 02:42