よりにもよって恐らく一番使用者が多いであろうシェルのbashに最悪の脆弱性が発覚してしまい、世界中が大慌てです。変数処理のオーバーフローからのクラックという事ですから、アプリやデーモンから山ほど発せられるexecから権限周りがすべてすっ飛ばされ放題になるわけで、もうセキュリティも何もあったものではありません。先日発生したOpenSSLのHeartbleedを遥に超えるレベルの、文字通り最悪の危険度と評価すべきものでしょう。やってくれたものです。Heartbleedの影響もまだ多数残っているというのに。
まずは落ち着いてbashのバージョンチェック。4.3のパッチ25以前が該当という事ですが、サーバの環境変数BASH_VERSIONを見ると・・・'4.3.11(1)-release'で、ばっちり該当しています。というわけで大急ぎで変更作業に移ります。
と言っても最近はbashばかり使ってたので変更先に少し困るのですが、多少は慣れてるもの、という事でtcshに。シェル変更コマンドchshでデフォルト設定をbashから変更します。変数設定を.bashrcから.cshrcに移植してから再起動、であっさり完了。厳密には対処としては不完全で、一般にはbashを一時的にアンインストールしておいた方が良いんでしょうけれども、私の場合は外部から直接シェルを起動される心配はない(筈です)から、これでとりあえず良しとします。
一時期、というか以前はむしろCシェル系の方をよく使っていた位ですから、特に違和感も感じず、むしろプロンプトとかsetの変数一覧の表示形式とか、とても懐かしく感じられて、たまには違うシェルを使うのも悪くない、と暢気にも思ったりした次第なのです。操作も意外と覚えてるもんですね。そういえばbashを使い始めた頃は変数設定のexport文を冗長に感じたりしたっけ、とか思い出したり。そもそも最近はもうシェルスクリプトで作業する事自体があまり無く、実際の所特段の問題もありませんし。というわけで、個人的にはこれで一安心。しかし心臓に悪いことこの上ありません。OpenSSLの時より余程。あれがHeartbleedなら、こちらはさしずめHeartattackとでもいう感じですかね?
流石にメンテナ連中も死ぬ気でパッチを作ってる所でしょうから、すぐに修正されて元に戻せるだろうとは思いますけれども。と言っても流石に前代未聞のレベルだし、類似の脆弱性が無いかチェックも必要でしょうから、時間がかかる可能性もあるんでしょう。でもそれは必要な作業ですから、とりあえず不便はありませんし、二次災害を起こす事の無い、確実な対処が行われるよう願いたいものです。やれやれ。対処にあたるSE諸氏におかれましては、誠にご愁傷さまです。死んだりしないよう、くれぐれもお気を付け下さい。
'Bigger than Heartbleed': Bash bug could leave IT systems in shellshock
What is the Shellshock Bash bug and why does it matter?
Ubuntuではbashのパッチが発行されていますね。不完全だとの情報もありますが、適用しないわけにもいかないでしょう。何を信じていいものやら、困ったものです。しかし今更ですがこの脆弱性、何十年も放置されたままだったんですよね。。。洒落になりませんほんと。
ところで本件の通称はshellshockで決まりなんでしょうか。これだとbash以外のシェルも影響があるような表現でいまいち釈然としません。Shellを使わないような一般人にはどうでもいい事なのかもしれませんが、その違いは利用者にとっては洒落にならないので、ちょっと気を使って欲しいなと思うのです。といって、報道記事の中には"バッシュ"をshellshockと同列の脆弱性を表す呼称と勘違いしているものすらある位だし、如何ともし難いんでしょうけどね。しかしその記事には、そんな知識でよくこの分野のライターをやってられるなと不思議に思ったりもしたわけです。
(その後・翌日)
パッチが不完全と評価されていた原因であるところの、後から発見された脆弱性(CVE-2014-7169)の分の追加パッチが発行されました。というわけで即適用。これで一段落、でしょうか。
(さらに2日後)
その後、さらに脆弱性が発見されたんだそうです。特定の変数名を使うとすり抜けられるんだそうで。対応策自体がまだ検討開始したばかりで、現時点で出ている案もブラックリストを作るかどうかとかいうとても手間がかかりそうで、かつ手抜かりが入り込みそうなものですし、安定するまでは大分時間がかかりそうです。
Re: Re: CVE-2014-6271: remote code execution through bash (3rd vulnerability)
[関連記事 [IT biz] OpenSSLで再び通信全漏れの脆弱性発覚]
[関連記事 [IT] OpenSSL脆弱性で三菱UFJニコスから個人情報大量漏洩]
[関連記事 [IT] OpenSSLに深刻な脆弱性、通称Heartbleed]