通称Shellshockという脆弱性が話題になっています
bashを呼び出してるプログラムはやばそうです
参考)
http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=963
http://www.agilegroup.co.jp/technote/bash-update.html
使ってたCentos6で確認
いちおうbashのバージョン確認
$ bash –version
GNU bash, version 4.1.2(1)-release (x86_64-redhat-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
脆弱性があるか分かるコマンドを試しに
$ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
vulnerable
this is a test
vulnerableが出るとアウト
対策してみました
$ yum clean all
$ yum update bash
再度テスト
$ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
this is a test
改善しました