shellshock 㨠sudo - hogehoge @teramakoCVE-2014-6271を発端ã¨ã™ã‚‹ bash ã®è„†å¼±æ€§ã€ã„ã‚ゆる ShellShock ã£ã¦å‘¼ã°ã‚Œã¦ã„る奴。環境変数ã«ä»•è¾¼ã‚“ã ä»»æ„ã®ã‚³ãƒžãƒ³ãƒ‰ã‚’実行ã§ãã¦ã—ã¾ã†ã£ã¦ã“ã¨ã‹ã‚‰ã€CGI ã¨ã®çµ„ã¿åˆã‚ã›ãŒå–り沙汰ã•ã‚Œã¦ã„る。 ãã®é ƒ sudo ã®è¨å®šã®å‹‰å¼·ã‚’ã—ã¦ã„ãŸã®ã§ã€ãµã¨æ°—ã«ãªã£ãŸã®ãŒã€sudoã®è¨å®šã§ç’°å¢ƒå¤‰æ•°ã‚’æŒã¡è¶Šã—ã¦ä½¿ç”¨ã™ã‚‹ã“ã¨ãŒã§ãã‚‹ env_keep ã®è¨å®šã€‚sudo 㧠root ã¨ã—ã¦bashを実行ã•ã›ã‚Œã°ã€ä»»æ„ã®ã‚³ãƒžãƒ³ãƒ‰ã‚’ç‰¹æ¨©æ˜‡æ ¼ã—ã¦å®Ÿè¡Œã§ãã¡ã‚ƒã†ã‚“ã˜ã‚ƒï¼Ÿ ã¨ã„ã†ã‚‚ã®ã€‚ 早速試ã—ã¦ã¿ãŸã€‚ 普通ã«å®Ÿè¡Œã—ãŸã‚‚ã® $ export ORACLE_SID='() { :;}; echo Vulnerability !!!' $ cat /usr/local/bin/testcmd #!/bin/bash -x id printenv ORACLE_SID $ /usr/local/
ã‚¿ãƒãƒ³ãƒã‚¦ãƒ 教授「èªã‚よã†ã€ç§ãŒé–“é•ã£ã¦ã„ãŸã€
ã‚ã¾ã¡ã‚ƒã‚“級?æœãƒ‰ãƒ©ã€Œãƒžãƒƒã‚µãƒ³ã€ãŒç¬¬1話ã‹ã‚‰Twitterã§å¤§å響
bash ã®è„†å¼±æ€§ "Shell Shock" ã®ã‚ã£ã¡ã‚ƒç´°ã‹ã„話 (CVE-2014-6271) - ã‚‚ã‚ãš blog
日本語ã§èªã‚ã‚‹ ITå文書 ä¸‰é¸ - naoyaã®ã¯ã¦ãªãƒ€ã‚¤ã‚¢ãƒªãƒ¼
{{#tags}}- {{label}}
{{/tags}}