脆弱性が公開された本家のサイト

oss-sec: Re: CVE-2014-6271: remote code execution through bash

日本語での有用な情報をまとめてくれています

bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog

今回の記事では bash がどんな実装になっていたのが問題で、
どういった修正がされたのかを紐解いていきます

シェル自体のソースを見る機会なんてまずないので、いい機会だと思って一緒に勉強しましょう

自宅の Mac の bash を見ると version 3.2 だったので、bash 3.2 のソースを元に調査します

この記事では
1. SehllShock (CVE-2014-6271) の概要
2. ソースコードの入手とパッチの適用
3. 修正箇所について
4. コードが実行されるまでの詳細について
5. まとめ
について説明します

GNU で公開されているパッチファイル

http://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052

先ほど入手したソースの差分

$ diff -rq bash-3.2.52 bash-3.2.51
Files bash-3.2.52/bash-3.2/builtins/common.h and bash-3.2.51/bash-3.2/builtins/common.h differ
Files bash-3.2.52/bash-3.2/builtins/evalstring.c and bash-3.2.51/bash-3.2/builtins/evalstring.c differ
Files bash-3.2.52/bash-3.2/patchlevel.h and bash-3.2.51/bash-3.2/patchlevel.h differ
Files bash-3.2.52/bash-3.2/variables.c and bash-3.2.51/bash-3.2/variables.c differ

差分を確認すると、以下の4ファイルに修正が入っているようです

• bash-3.2/builtins/evalstring.c
• bash-3.2/builtins/common.h
• bash-3.2/patchlevel.h
• bash-3.2/variables.c

1つづつ内容を見て行きましょう

bash-3.2/builtins/evalstring.c parse_and_execute ()

エラーを吐いて処理を停止させる感じのコードが追加されています
恐らく今回の脆弱性に対応したコアな部分でしょう

$ diff bash-3.2.52/bash-3.2/builtins/evalstring.c bash-3.2.51/bash-3.2/builtins/evalstring.c
237,244d236
< 	      if ((flags & SEVAL_FUNCDEF) && command->type != cm_function_def)
< 		{
< 		  internal_warning ("%s: ignoring function definition attempt", from_file);
< 		  should_jump_to_top_level = 0;
< 		  last_result = last_command_exit_value = EX_BADUSAGE;
< 		  break;
< 		}
< 
302,304d293
< 
< 	      if (flags & SEVAL_ONECMD)
< 		break;

bash-3.2/variables.c initialize_shell_variables ()

parse_and_execute () を呼び出す際の引数が変更されています
また、削除されている箇所もありましたが、ソース上のコメントからは 下位互換性を保つためのコードのようです

$ diff bash-3.2.52/bash-3.2/variables.c bash-3.2.51/bash-3.2/variables.c
321,324c321,326
< 	  /* Don't import function names that are invalid identifiers from the
< 	     environment. */
< 	  if (legal_identifier (name))
< 	    parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST|SEVAL_FUNCDEF|SEVAL_ONECMD);
---
> 	  parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST);
> 
> 	  /* Ancient backwards compatibility.  Old versions of bash exported
> 	     functions like name()=() {...} */
> 	  if (name[char_index - 1] == ')' && name[char_index - 2] == '(')
> 	    name[char_index - 2] = '\0';
332a335,338
> 
> 	  /* ( */
> 	  if (name[char_index - 1] == ')' && name[char_index - 2] == '\0')
> 	    name[char_index - 2] = '(';		/* ) */

bash-3.2/builtins/common.h

SEVAL_FUNCDEF、SEVAL_ONECMD の2つの定数が追加されています
この定数は上の2つで追加された処理内で利用されているものです

$ diff bash-3.2.52/bash-3.2/builtins/common.h bash-3.2.51/bash-3.2/builtins/common.h
36,37d35
< #define SEVAL_FUNCDEF	0x080		/* only allow function definitions */
< #define SEVAL_ONECMD	0x100		/* only allow a single command */

bash-3.2/patchlevel.h

これはパッチ番号を表す定数っぽいですね

$ diff bash-3.2.52/bash-3.2/patchlevel.h bash-3.2.51/bash-3.2/patchlevel.h
28c28
< #define PATCHLEVEL 52
---
> #define PATCHLEVEL 51

記事の先頭に戻る

variables.c initialize_shell_variables ()

/* Initialize the shell variables from the current environment.
   If PRIVMODE is nonzero, don't import functions from ENV or
   parse $SHELLOPTS. */
void
initialize_shell_variables (env, privmode)
     char **env;
     int privmode;
{

env で渡された内容が1つ1つチェックされます
"() {" から始まっている文字列は処理が分岐され、今回の脆弱性で問題となった parse_and_execute () に環境変数の値を渡して入って行きます

variables.c initialize_shell_variables ()

      /* If exported function, define it now.  Don't import functions from
	 the environment in privileged mode. */
      if (privmode == 0 && read_but_dont_execute == 0 && STREQN ("() {", string, 4))
	{
	  string_length = strlen (string);
	  temp_string = (char *)xmalloc (3 + string_length + char_index);

	  strcpy (temp_string, name);
	  temp_string[char_index] = ' ';
	  strcpy (temp_string + char_index + 1, string);

	  parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST);

parse_and_execute () という関数の名前からは、渡された文字列のコマンドをパースして実行する処理だということが想像できます
すごく怪しそうな感じがします

evalstring.c parse_and_execute ()

int
parse_and_execute (string, from_file, flags)
     char *string;
     const char *from_file;
     int flags;
{

この後の parse_command () 内の処理にて渡された文字列がパースされます
構文エラーが無かった場合には parse_command () から戻り値 0 が返されます

evalstring.c parse_and_execute ()

      if (parse_command () == 0)
	{
	  if (interactive_shell == 0 && read_but_dont_execute)
	    {
	      last_result = EXECUTION_SUCCESS;
	      dispose_command (global_command);
	      global_command = (COMMAND *)NULL;
	    }
	  else if (command = global_command)
	    {

// -------- 省略 --------

		}
	      else
		last_result = execute_command_internal
				(command, 0, NO_PIPE, NO_PIPE, bitmap);

parse_command () の処理では 与えられた文字列がどんな構文のコマンドなのかをチェックし、判定されたコマンドの種類が command->type にセットされます
また、パースした結果構文エラーが無ければ、global_command には環境変数の文字列がセットされます

そして、execute_command_internal () 内で構文チェックを終えたコマンドに関しての処理が実行されます

execute_command_internal という名前からして、
ここに入るとどんな処理でも実行されてしまいそうに見えます

execute_command_internal () の内部ではパースで判定された command->type の値によって処理が分岐されます

文字列の内容が関数の定義として認識された場合には command->type に cm_function_defがセットされるため、execute_command_internal () 内では以下の処理が実行されます

execute_cmd.c execute_command_internal ()

    case cm_function_def:
      exec_result = execute_intern_function (command->value.Function_def->name,
					     command->value.Function_def->command);
      break;

この時実行されている execute_intern_function () はコマンドの文字列を関数としてバインドするだけの処理で、関数を実行する処理にはなっていませんでした

なので正しい？構文で関数定義が指定されている場合には、環境変数に関数としてバインドされるだけで関数そのものの処理が実行されることはないことが分かりました

さて、問題は

x='() { :;}; echo vulnerable'

という文字列がなぜ環境変数の読み込み時に実行されてしまうかです

細かい所を見て行くと、上記の文字列をパースした結果は cm_function_def として判定されておらず、以下のような構造の cm_connection という種類に判定されていました

cm_function_def ; cm_simple

cm_connection は "&" 、";"、"|" などでコマンドが連結されている構造を示すものです

x=() { :;} の部分が cm_function_def として解釈され、
echo vulnerable の部分が cm_simple として解釈されていました

cm_connection の場合の execute_intern_function () の処理は以下になっており、; で繋がれた2つのコマンドは左側から1つづつ execute_intern_function () が実行されます

これはワンライナーのように、コマンドを ; で区切って記述した場合の処理なので、特別なものではありません
当然、この処理自体がバグを含んでいるわけではありません

処理の詳細を見てみましょう
まず、cm_connection のコマンドは execute_connection () が実行されます

execute_cmd.c execute_intern_function ()

    case cm_connection:
      exec_result = execute_connection (command, asynchronous,
					pipe_in, pipe_out, fds_to_close);
      break;

execute_connection () の中身です
連結している文字が ";" の場合は左側から1つづつ実行されていることが分かります
右側のコマンドはさらに 連結されたものである可能性があるので execute_command_internal () で実行されているようです

execute_cmd.c execute_connection ()

    /* Just call execute command on both sides. */
    case ';':
      if (ignore_return)
	{
	  if (command->value.Connection->first)
	    command->value.Connection->first->flags |= CMD_IGNORE_RETURN;
	  if (command->value.Connection->second)
	    command->value.Connection->second->flags |= CMD_IGNORE_RETURN;
	}
      QUIT;
      execute_command (command->value.Connection->first);
      QUIT;
      exec_result = execute_command_internal (command->value.Connection->second,
				      asynchronous, pipe_in, pipe_out,
				      fds_to_close);
      break;

cm_simple の場合は単純にコマンドが実行される処理になっていました

execute_cmd.c execute_intern_function ()

    case cm_simple:
      {
	save_line_number = line_number;

// -------- 省略 --------

	exec_result =
	  execute_simple_command (command->value.Simple, pipe_in, pipe_out,
				  asynchronous, fds_to_close);

※CVE-2014-7169 についての記事も書きました

bash の脆弱性 "Shell Shock" のめっちゃ細かい話 その2 (CVE-2014-7169) - もろず blog

記事の先頭に戻る