 Re: ★★★何でも質問・相談★★★ ( No.1 ) |
- 日時: 2014/09/27 14:02
- 名前: くりくり
- こんにちは
centosですが、
すでに対応済みです。
https://www.superweibu.com/archives/5769.html
>MacOS X
そういえばUNIXベースでUNIXに認定されてるからでしょう。
もっともシェルでbashを使ってなければいいだけですから。
[root@www ~]# cat /etc/shells
/bin/sh
/bin/bash
/sbin/nologin
/bin/tcsh
/bin/csh
[root@www ~]# cat /etc/passwd |grep redadmin
redadmin:x:500:500::/home/redadmin:/bin/bash
[root@www ~]# usermod -s /bin/tcsh redadmin
[root@www ~]# cat /etc/passwd |grep redadmin
redadmin:x:500:500::/home/redadmin:/bin/tcsh
という風に変更してもいいかも?
|
| Re: ★★★何でも質問・相談★★★ ( No.2 ) |
- 日時: 2014/09/27 17:05
- 名前: りり
- こちらには
http://itpro.nikkeibp.co.jp/atcl/news/14/092601079/
>米国立標準技術研究所(NIST)が出した脅威評価は10段階中「10」(最も重大)
>今春世間を騒がせたOpenSSLの脆弱性「Heartbleed(心臓出血)」(関連記事)より被害が拡大するとの見方もある。
>Heartbleedはサーバーのメモリーからデータを盗み出すことのみに使われたのに対し、Shellshockは攻撃者がシステムの制御を奪い、犯罪目的やサイバースパイなどに悪用することを可能にしてしまう。
とあります。どこかで、このような被害が実際に起こったのでしょうか?
|
| Re: ★★★何でも質問・相談★★★ ( No.3 ) |
- 日時: 2014/09/27 18:36
- 名前: くりくり
- 今晩は
情報が錯綜してますね。
bashのパッケージアップデータが2回ありました。
どうやら、最初はCVE-2014-6271対策のでしたが、
これでは不十分らしくCVE-2014-7169対応のバージョンも公開されたみたいです。
https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
被害はまだでていないかわかりませんが、
すでに攻撃は警察が確認してるみたいですね。
http://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf
|
| Re: ★★★何でも質問・相談★★★ ( No.4 ) |
- 日時: 2014/09/27 19:54
- 名前: o6asan
- こんばんは。
書き逃げ状態で他出し,帰ってきてから VMWare 上の CentOS 6.5 を調べたら,こんな状態でした。
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
$ rpm -qa |grep bash
bash-4.1.2-15.el6_4.i686
# yum update bash
# rpm -qa |grep bash
bash-4.1.2-15.el6_5.2.i686
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
なので,くりくりさんのおっしゃってるように CentOS では shellshock 関係で2度パッチが出たようです。
VMWare 上でも,そこからネットにアクセスすれば関係あるものですか?
ところで, NHK のニュースで報道があったことに驚いて書き込みしたのですが,
「インターネットのホームページを表示するサーバで広く利用されているプログラム」
とかいう表現をされていて,誤解生むなあと思いました。
もっとも,サーバの脆弱性が利用されてマルウェアが仕込まれれば,アクセスしたほうは Bash に縁がなくても
影響は受けるでしょうから,周知は大事でしょうが。わかりやすい表現というのはどうすればいいんでしょうかねぇ。
そういえば, Android も Linux ですよね。これには,影響ないんですか。
実際の被害の記事はまだ探し出せませんでしたが,関係するボットネットはもうできたみたいですね。
クワバラクワバラです。
|
| Re: ★★★何でも質問・相談★★★ ( No.5 ) |
- 日時: 2014/09/28 00:47
- 名前: あいり
- Linuxのこともプログラムのこともよくわからないんですが、
周りの反応を見てると、危ないのはWEBサーバでCGIを使ってる(掲示板とか)なの?と思います。
そもそもBashを使っているかはわかっても、プログラムがBashを介してるかとかちんぷんかんぷんなのです;;
|
| Re: ★★★何でも質問・相談★★★ ( No.6 ) |
- 日時: 2014/09/28 09:20
- 名前: りり
- こちらの方の解説が詳しそうですね。
http://blog.mona-digest.net/?p=2909
私もちんぷんかんぷんなのですが、この解説を読んでも何となくイメージできました。
>実行可能なコマンドであればなんでも入れ込むことが可能なため、情報の漏えいや破壊等といった直接的被害が出かねないという意味ではより深刻であるといえます。
>なによりもcgiをbash経由で実行する環境などがある場合は遠隔でコマンドを実行することが可能になるため、早急な対策が必要になります。
ということのようです。
この話題は、重大なので、あとで、スレッドを適当なカテゴリーで独立させたいと思います。
で、o6asanさんやくりくりくさんは、サーバ運用されていますから、サーバの設定として切迫されていると思いますが、レンタルサーバ利用側としては、そのサーバの仕様がどうなっているかに寄るかと思います。
使っているXserverでは、SSHでリモートコントロールできるようなんですが、これは、今回のBashとは、無関係ですかね?ssh経由bashコマンド実行というケースもあるみたいですが…
http://www.amamoba.com/wordpress/xserver-ssh.html
まあ、でもうちのスペースは、いずれにしろssh利用をonにしていないので、関係ないですよね?
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.7 ) |
- 日時: 2014/09/28 10:48
- 名前: くりくり
- おはようございます。
情報が色々錯綜してまだ完璧に把握してるわけではありませんが、
問題はcgiを経由してサーバーのコマンド(bash)が実行できること。
その方法が環境変数を利用云々でした。
当初はbashでcgiを書いた場合のみでしたが、
どうやらそうでなくrudyやphpをcgiで実行してると実行できてしまう。
そのパターンが1から7
http://blog.mona-digest.net/?p=2909
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.8 ) |
- 日時: 2014/09/28 12:09
- 名前: りり
- Xserverでは、
>サーバーのOSには Linux を採用しています。ディストリビューションなどの詳細については非公開とさせていただいております。
というのだけど、こういう仕様です。
http://www.xserver.ne.jp/manual/man_server_spec.php
へたにディストリビューションなどの詳細を公開すると、狙われやすい?
リンク先のブログが参考にしたというサイトでは、
■ ウェブアプリにおけるBash脆弱性の即死条件 #ShellShockCommentsAdd Starwarufuzaketaichi
条件1. /bin/shの実体がbashのディストリビューション
・ RHEL
・CentOS
・Scientific Linux
・Fedora
・Amazon Linux
・openSUSE
・Arch Linux
・(自ら設定した場合: Debian, Ubuntu)
条件2. 動作環境
・CGI (レンタルサーバでありがちなCGIモードのPHP等も含む)
・Passenger(Ruby)
条件3. プログラム内容
・Passengerは全死亡 *1
・systemや `command`、 '| /usr/lib/sendmail' などで外部コマンド実行 *2
・PHPのmailやmb_send_mail、その他フレームワーク等を介したメール送信 *3
・以下は条件1が不要 ◦ 明示的にbashを呼ぶ
・先頭で #!/bin/bash や #!/usr/bin/env bash しているプログラムを実行 (rbenv等)
とありますね。うちもsendmailは使っていますが、
>*2:PerlやRubyでメタ文字を含まないsystemなど直接execvp(3)するものはセーフ
という部分の意味が分からないのだけど、
うちのメール送信は
#-------------------------------------------------
# メール送信
#-------------------------------------------------
sub sendmail {
local($msub, $mbody, $mcom, $email);
# メールタイトルを定義
$msub = "$title: $i_sub";
# 本文の改行・タグを復元
$mcom = $i_com;
$mcom =~ s/<br>/\n/g;
$mcom =~ s/</</g;
$mcom =~ s/>/>/g;
$mcom =~ s/"/”/g;
$mcom =~ s/&/&/g;
という記述です。これは、どうなんでしょう?
 |
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.9 ) |
- 日時: 2014/09/28 13:33
- 名前: o6asan
- > へたにディストリビューションなどの詳細を公開すると、狙われやすい?
うーん,どうでしょうか?公開していなければ狙われにくいとまでは,言えないような気がします。
今どき,脆弱性探しは「下手な鉄砲も数撃ちゃ当たる」の総当たりできますから。
うちのサーバは Bash とは縁のない構成ですが,それでも Apache のログを見ると現時点まで,
"[25/Sep/2014@19:35:29 +0900]" "() { :;}; /bin/ping -c 1 198.101.206.138"
"[26/Sep/2014@2:55:7 +0900]" "() { :; }; /bin/ping -c 1 104.131.0.69"
"[28/Sep/2014@1:33:42 +0900]" "() { :; }; echo Mozilla: `echo 4SiZTfQxIy`;"
"[28/Sep/2014@1:33:42 +0900]" "() { :; }; echo Mozilla: `echo JWQYNd0hcP`;"
"[28/Sep/2014@1:33:43 +0900]" "() { :; }; echo Mozilla: `echo BtSaHPn6gi`;"
"[28/Sep/2014@1:33:43 +0900]" "() { :; }; echo Mozilla: `echo tdNFuraMoc`;"
と6個ありました。すべてエラーが戻っています。
うちのような個人の零細サーバでもこのくらいあるのですから,早急に手当てしておかないとえらいことに
なるのではないですかね。env x='() { :;}; echo vulnerable' bash -c "echo this is a test" の
echo vulnerable の代わりにほぼ何でもかけるようですから。サーバごとの権限で動かない関数もある
でしょうが……動く分ですごいのを見つければクラッカーは大喜びで使うでしょうし。
上記の分,これ以外に25日にもう2つ 209.126.230.72 からの分があったのですが,これは,下記のように,
Robert Graham 自身がテストスキャンしたもので問題なしの模様です。
Bash 'shellshock' scan of the Internet By Robert Graham
http://goo.gl/D1s6we
ただし,彼はもうやっていませんよと明言してますので,偽装には十分気を付けてください。
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.10 ) |
- 日時: 2014/09/28 17:33
- 名前: くりくり
- こんにちは
>うちのような個人の零細サーバでもこのくらいあるのですから,
早急に手当てしておかないとえらいことに
うーん、一個だけだりました(笑)
ちなみにドメイン数は200超えてますけどw
[28/Sep/2014:06:41:01 +0900] "-" "() { :;};echo `/bin/cat /etc/passwd`"
もっとも26日にバージョンアップして対応ずみですからね。
それにcgiは上記条件にあうものがないので一応安心。
>という記述です。これは、どうなんでしょう?
xserverは特に今回のbashについて記述がありませんね。
メールで確認する方がはやいかもしれませんね。
うちが借りてる所は3社ですが、二つはbashについて言及してました。
|
シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性