IBM DeveloperIBM Developer is your one-stop location for getting hands-on training and learning in-demand skills on relevant technologies such as generative AI, data science, AI, and open source.
ウェブアプリã«ãŠã‘ã‚‹Bash脆弱性ã®å³æ»æ¡ä»¶ #ShellShock - ã‚ã‚‚ãŠãã°
æ¡ä»¶1. /bin/shã®å®Ÿä½“ãŒbashã®ãƒ‡ã‚£ã‚¹ãƒˆãƒªãƒ“ューション RHEL CentOS Scientific Linux Fedora Amazon Linux openSUSE Arch Linux (自らè¨å®šã—ãŸå ´åˆ: Debian, Ubuntu) æ¡ä»¶2. 動作環境 CGI (レンタルサーãƒã§ã‚ã‚ŠãŒã¡ãªCGIモードã®PHPç‰ã‚‚å«ã‚€) Passenger(Ruby) æ¡ä»¶3. プãƒã‚°ãƒ©ãƒ 内容 Passengerã¯å…¨æ»äº¡ *1 systemã‚„ `command`〠'| /usr/lib/sendmail' ãªã©ã§å¤–部コマンド実行 *2 PHPã®mailã‚„mb_send_mailã€ãã®ä»–フレームワークç‰ã‚’介ã—ãŸãƒ¡ãƒ¼ãƒ«é€ä¿¡ *3 以下ã¯æ¡ä»¶1ãŒä¸è¦ 明示的ã«bashを呼㶠先é 㧠#!/bin/bash ã‚„ #!/usr/bin/env bash ã—ã¦ã„るプãƒã‚°ãƒ©ãƒ を実行 (rbenv
Shellshockã®å½±éŸ¿ãŒåŠã¶ã‚±ãƒ¼ã‚¹ã‚’ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog
ã“ã“ã§ã¯Bashã®è„†å¼±æ€§ ShellShockã®å½±éŸ¿ãŒåŠã¶ã‚±ãƒ¼ã‚¹ã¨ã—ã¦æƒ…å ±ãŒå‡ºã¦ã„ã‚‹ã‚‚ã®ã‚’ã¾ã¨ã‚ã¾ã™ã€‚è¨˜è¼‰æƒ…å ±ã¯piyokangoãŒè¦‹ã¤ã‘ãŸæƒ…å ±ã‚’ã¾ã¨ã‚ã¦ã„ã‚‹ã ã‘ã§ã‚ã‚Šã€å½“該脆弱性ã«ã‚ˆã‚‹å½±éŸ¿ãŒåŠã¶ã‚±ãƒ¼ã‚¹ã‚’ã™ã¹ã¦ç¶²ç¾…ã—ã¦ã„ã‚‹ã‚ã‘ã§ã¯ã‚ã‚Šã¾ã›ã‚“ã®ã§ã”注æ„ãã ã•ã„。 é–¢é€£æƒ…å ± bashã®è„†å¼±æ€§(CVE-2014-6271) #ShellShock ã®é–¢é€£ãƒªãƒ³ã‚¯ã‚’ã¾ã¨ã‚ã¦ã¿ãŸ 影響ãŒåŠã¶ã‚±ãƒ¼ã‚¹ã®å‰ææ¡ä»¶ 対象ã®ã‚·ã‚¹ãƒ†ãƒ ã§Bashã®è„†å¼±æ€§(CVE-2014-6271ã€CVE-2014-7169)ãŒä¿®æ£ã•ã‚Œã¦ã„ãªã„ 攻撃方法 方法 具体例 æ¡ä»¶ 能動的 Exploitã‚’HTTPリクエストやメールç‰ã‚’使ã£ã¦é€ã‚Šä»˜ã‘ã‚‹ (å‚考)BASHã®è„†å¼±æ€§ã§CGIスクリプトã«ã‚¢ãƒ¬ã•ã›ã¦ã¿ã¾ã—㟠攻撃者ãŒå¯¾è±¡ã¸ç›´æŽ¥æŽ¥ç¶šå¯èƒ½ å—å‹•çš„ Exploitを仕込んã ç½ ãƒšãƒ¼ã‚¸ã‚’è¨ç½®ã—攻撃対象ã«è¸ã¾ã›ã‚‹ (å‚考)ファイアウォール内ã®
bashã®è„†å¼±æ€§(CVE-2014-6271) #ShellShock ã®é–¢é€£ãƒªãƒ³ã‚¯ã‚’ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog
bashã«è„†å¼±æ€§ãŒç¢ºèªã•ã‚ŒãŸã¨ã—ã¦é¨’ãŽã«ãªã£ã¦ã„ã¾ã™ã€‚ã“ã“ã§ã¯CVE-2014-6271ã«é–¢ã™ã‚‹æƒ…å ±ã‚’ã¾ã¨ã‚ã¾ã™ã€‚ #記載内容ã«ã¤ã„ã¦ã€èª¤ã£ã¦ã„ã‚‹ã€è¿½è¨˜ã—ãŸæ–¹ãŒã„ã„ç‰æƒ…å ±ãŒã”ã–ã„ã¾ã—ãŸã‚‰@piyokangoã¾ã§ã”連絡ãŠé¡˜ã„ã—ã¾ã™ã€‚ è„†å¼±æ€§æƒ…å ± 脆弱性ã®æ„›ç§° ShellShock Bashbug CVEç•ªå· Bash周りã§ç™ºè¡Œã•ã‚Œã¦ã„ã‚‹CVEã¯6ã¤ã€‚ãã®å†…詳細ãŒä¸æ˜Žãªã®ãŒ2ã¤ã€‚(CVE-2014-6277,CVE-2014-6278) CVE 発見者 æƒ³å®šè„…å¨ ç‰¹è¨˜ CVE-2014-6271 Stephane Chazelasæ° ä»»æ„ã®ã‚³ãƒ¼ãƒ‰å®Ÿè¡Œ ShellShockã®ç™ºç«¯ã¨ãªã£ãŸãƒã‚°ã€‚ CVE-2014-7169 Tavis Ormandyæ° ä»»æ„ã®ã‚³ãƒ¼ãƒ‰å®Ÿè¡Œ CVE-2014-6271ä¿®æ£æ¼ã‚Œã«ã‚ˆã‚‹è„†å¼±æ€§ CVE-2014-7186 Redhat DoS ãƒ¡ãƒ¢ãƒªç ´å£Š(Out-of-Bo
BASHã®è„†å¼±æ€§ã§CGIスクリプトã«ã‚¢ãƒ¬ã•ã›ã¦ã¿ã¾ã—ãŸ
環境変数ã«ä»•è¾¼ã¾ã‚ŒãŸã‚³ãƒ¼ãƒ‰ã‚’実行ã—ã¦ã—ã¾ã†BASHã®è„†å¼±æ€§ãŒ CGIスクリプトã«å½±éŸ¿ã‚’与ãˆã‚‹ã‹è©¦ã—ã¦ã¿ãŸã‚‰çµæžœã¯æ‚²æƒ¨ãªæ„Ÿã˜ã« Tweet 2014å¹´9月25æ—¥ 嶋田大貴 ã“ã®è¨˜äº‹ã¯2014å¹´ã®ã‚‚ã®ã§ã™ æœã‹ã‚‰ Bash specially-crafted environment variables code injection attack ãªã‚‹ã‚‚ã®ã§é¨’ãŽã«ãªã£ã¦ã„ãŸã®ã§ã€ã•ã£ãã手元㮠Apacheã§è©¦ã—ã¦ã¿ã¾ã—ãŸã€‚ /hoge.cgiã¨ã„ã†URIã§å®Ÿè¡Œã•ã‚Œã‚‹ã‚ˆã†ã«ã€ä¸€è¡Œã®ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸ã‚’出力ã™ã‚‹ã ã‘ã® CGIスクリプトをè¨ç½®ã—ã¾ã™ã€‚ã„ã£ã‘ã‚“ã€ãªã‚“ã®å…¥åŠ›ã‚‚クライアントå´ã‹ã‚‰å—ã‘付ã‘ã¦ã„ãªã„ãŸã‚å±é™ºã®ã‚りよã†ã‚‚ãªã見ãˆã¾ã™ã€‚ #!/bin/sh echo "Content-type: text/plain" echo echo "Hi! I'm an ordinary CGI script w
read Man Page - Linux - SS64.com
Read one line from the standard input, (or from a file) and assign the word(s) to variable name(s). Syntax read [-ers] [-a aname] [-d delim] [-i text] [-n nchars] [-N nchars] [-p prompt] [-r] [-s] [-t timeout] [-u fd] [name...] Key -a aname The words are assigned to sequential indices of the array variable aname, starting at 0. aname is unset before any new values are assigned. Other name argument
Bシェル 文å—列ã«å«ã¾ã‚Œã‚‹ç‰¹å®šæ–‡å—ã®ã‚«ã‚¦ãƒ³ãƒˆ - OKWAVE
æ–‡å—列ã®ä¸ã«ã¯ç©ºç™½æ–‡å—ãŒç„¡ã„ã¨ã™ã‚‹ã¨ã€bashã®çµ„ã¿è¾¼ã¿æ©Ÿèƒ½ã ã‘ã§å‡ºæ¥ã¾ã™ã€‚ #!/bin/bash A=123456789abc1defg0123456789 B=/$A/ â†å…ˆé や末尾ã«ç‰¹å®šæ–‡å—ãŒå«ã¾ã‚Œã¦ã„ã‚‹å ´åˆã®è€ƒæ…® IFS=1 â†ã“ã“ã«ç‰¹å®šæ–‡å—(一文å—ã«é™ã‚‹) set -- $B echo $(($#-1)) 空白や記å·ãŒå«ã¾ã‚Œã¦ã„ã‚‹å ´åˆã§ã€bashã‚‚ç„¡ã„å ´åˆ #!/bin/sh A=123456789abc1defg0123456789 LENA=`expr length "$A"` B=`echo "$A" | sed s/1//g` â†å‰Šé™¤ã™ã‚‹ã¨çŸããªã‚‹ LENB=`expr length "$B"` echo `expr $LENA - $LENB` ã“ã£ã¡ã®æ–¹ãŒã‚ã‹ã‚Šã‚„ã™ã„ã‹ã€‚
bash - シェル変数ã®åˆæœŸè¨å®š - ã‚ã‚“ã¿ã®ã®å‚™å¿˜éŒ²
変数ã®å€¤ãŒãƒŒãƒ«ã‹ãªã©ã®æ¡ä»¶ã«ã‚ˆã‚Šã€ä»£å…¥ã™ã‚‹å€¤ã‚„表示ã™ã‚‹å†…容を変ãˆã‚‹ã“ã¨ãŒã§ãる。 ${var:-word} varã«å€¤ãŒå…¥ã£ã¦ã„ãªã„ãªã‚‰wordを値ã¨ã—ã¦è¿”ã™ ${var:=word} varã«å€¤ãŒå…¥ã£ã¦ã„ãªã„ãªã‚‰wordを代入ã™ã‚‹ ${var:?word} varã«å€¤ãŒå…¥ã£ã¦ã„ãªã„ãªã‚‰word出力ã™ã‚‹ ${var:+word} varã«å€¤ãŒå…¥ã£ã¦ã„ãŸã‚‰wordを値ã¨ã—ã¦è¿”ã™ :ã¯çœç•¥å¯èƒ½ã§çœç•¥ã—ãŸå ´åˆã€å¤‰æ•°ã®å€¤ãŒæœªè¨å®šã‹ãƒŒãƒ«ãŒä»£å…¥ã•ã‚Œã¦ã„ã‚‹å ´åˆã«ãƒŒãƒ«æ–‡å—㌠入ã£ã¦ã„る変数ã¨ã—ã¦æ‰±ã†ã€‚未定義ã®å¤‰æ•°ã®å ´åˆã¯å€¤ãŒå…¥ã£ã¦ã„ãªã„変数ã¨ã—ã¦æ‰±ã†ã€‚ $ var1=abc $ echo ${var1:-xyz} #値ãŒå…¥ã£ã¦ã„ã‚Œã°ãã®ã¾ã¾è¡¨ç¤º abc $ var1= $ echo ${var1:-xyz} #値ãŒå…¥ã£ã¦ã„ãªã‘ã‚Œã°-以é™ã‚’表示 xyz $ echo $var1 #値ã¯å…¥ã£ã¦ã„ãªã„ã¾ã¾ $
cronã‹ã‚‰ç«‹ã¡ä¸Šã’られãŸ--loginオプション付ãã®bashã®ã¯.bash_profileã‚’ãã¡ã‚“ã¨å‚ç…§ã™ã‚‹ - 計算機ã¨æˆ¯ã‚Œã‚‹æ—¥ã€…
cronã‹ã‚‰ç«‹ã¡ä¸Šã’られãŸbashã¯ãã¡ã‚“ã¨.bash_profileã‚’ãã¡ã‚“èªã¿è¾¼ã‚“ã§ã„ã‚‹ 以下ãã®è§£èª¬ $ cat .bash_profile A=xxx $ crontab -l * * * * * bash --login -c 'echo `date` "->" $A >> /tmp/a.txt' $ tail -f /tmp/a.txt 2008å¹´ 1月 30æ—¥ 水曜日 16:14:01 JST -> xxx 2008å¹´ 1月 30æ—¥ 水曜日 16:15:01 JST -> xxx 2008å¹´ 1月 30æ—¥ 水曜日 16:16:01 JST -> xxx 2008å¹´ 1月 30æ—¥ 水曜日 16:17:01 JST -> xxx
シェルã®å¤‰æ•°ã«æ…£ã‚Œã‚‹
ユーザー定義変数ã®ä½¿ã„æ–¹ 変数ã¯ã€ã‚·ã‚§ãƒ«ã®ä¸–ç•Œã€ã¨ãã«è‹±èªžã®ãƒ‰ã‚ュメントã§ã¯ã€Œãƒ‘ラメータã€ã¨å‘¼ã°ã‚Œã¦ã„ã¾ã™ãŒã€æ—¥æœ¬èªžã§ãƒ‘ラメータã¨ã„ã†ã¨ã©ã†ã‚‚é•ã†æ„味ã«ã¨ã‚‰ã‚ŒãŒã¡ãªã®ã§ã€ã“ã“ã§ã¯ã€Œå¤‰æ•°ã€ã¨å‘¼ã“ã¨ã«ã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚ã§ã¯ã‚·ã‚§ãƒ«ã‚¹ã‚¯ãƒªãƒ—トã«ãŠã‘る「変数ã€ã®å–扱ã¨ç‰¹å¾´ã«ã¤ã„ã¦è¦‹ã¦ã„ãã“ã¨ã«ã—ã¾ã—ょã†ã€‚ シェルやシェルスクリプトã§å¤‰æ•°ã‚’定義ã™ã‚‹å ´åˆã¯ã€ ã®ã‚ˆã†ã«è¨˜è¿°ã—ã¾ã™ã€‚ã¨ãã«å‰ã‚‚ã£ã¦å¤‰æ•°ã‚’宣言ã—ãŸã‚Šã™ã‚‹å¿…è¦ã¯ã‚ã‚Šã¾ã›ã‚“(宣言ã™ã‚‹ã“ã¨ã‚‚ã§ãã¾ã™ãŒï¼‰ã€‚‘=’ã®ä¸¡å´ã«ã‚¹ãƒšãƒ¼ã‚¹ã‚’ã‚ã‘ãŸã‚Šã—ã¦ã¯ã„ã‘ã¾ã›ã‚“。C言語ãªã©ã®å¤‰æ•°ä»£å…¥ãªã©ã®éš›ã«ã‚¹ãƒšãƒ¼ã‚¹ã‚’ã‚ã‘ã‚‹ç™–ã®ã‚ã‚‹æ–¹ã¯æ°—ã‚’ã¤ã‘ã¦ãã ã•ã„。 æ ¼ç´ã•ã‚ŒãŸå€¤ã‚’å‚ç…§ã™ã‚‹å ´åˆã¯ã€å¤‰æ•°ã®å…ˆé ã«â€˜$’をã¤ã‘ã¾ã™ã€‚ãŸã‚ã—ã«echoを使ã£ã¦æ¨™æº–出力ã«å¤‰æ•°ã‚’表示ã—ã¦ã¿ã¾ã™ã€‚
:(コãƒãƒ³ã‚³ãƒžãƒ³ãƒ‰) - é–“é•ã„ã らã‘ã®å‚™å¿˜éŒ²
ãªã«ã‚‚処ç†ã—ãªã„コマンドã§0(真)ã‚’è¿”ã™ã€‚ tureコマンドåŒç‰ C言語ã®;çš„ã ãªã€‚ 0ãŒçœŸãªã®ã¯é•å’Œæ„Ÿã‚り。
Writing Robust Bash Shell Scripts - David Pashley.com
Many people hack together shell scripts quickly to do simple tasks, but these soon take on a life of their own. Unfortunately shell scripts are full of subtle effects which result in scripts failing in unusual ways. It’s possible to write scripts which minimise these problems. In this article, I explain several techniques for writing robust bash scripts. How often have you written a script that br
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}