 Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.11 ) |
- 日時: 2014/09/28 17:45
- 名前: o6asan
- こんにちは。
少ないですね。
そういえば,くりくりさんのところは,基本的に国外からのアクセスは,シャットアウトではなかったですか?
うちに来たのの IP は全部国外でしたから,零細にもかかわらず数が多いのはそのせいかもしれません。
経験的にいって,他の脆弱性狙いも,国内からはあまり来てなかったです。
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.12 ) |
- 日時: 2014/09/28 18:19
- 名前: くりくり
- o6asanさんこんにちは
webサーバーは特に制限はしてません。
FTPとSSHのみTCP Wrapperをつかってます。
自分のnginxは一個もありませんでした。
cgiありませんから、当然といえばとうぜんかな。
>うちに来たのの IP は全部国外
o6asanさんのサイトは英語表記もありますし、
このサーバー日本語ドメインがほとんどで
ピュニコードで変な風におもわれたかな?
まぁあんまりこられても嫌ですからねー。
でも、一個だけというのも別な意味で微妙すぎますよね(笑)
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.13 ) |
- 日時: 2014/09/28 19:06
- 名前: りり
- Xserverにも関連するなら、週明けあたりに何か知らせが出るかも?
丁度、日本で騒がれ出したのが、土曜日でしたから。
うちは、今までに、自動投稿プログラムを送ってくるようなところは、トラップに掛かって投稿不可でも、拒否してきました。そういうホストは、ページ数と件数が同一なのですぐ分かるのです。
普通にスレッドを閲覧したら、小さいアイコン画像などがあるので、件数は、ページ数の4倍位になるみたいなんですよ。
今月のエラーコード
403 Forbidden 53699件 93.4 % これが拒否されても相変わらずアクセスしてくるところ
ロボットだから、拒否されたから、もう、あそこは止めようとか、判別しないんでしょう。
あと
400 Bad Request 2件
405 Method not allowed 2件
というのが怪しいところかな?
何をしようとしていたかは、分からないですが。
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.14 ) |
- 日時: 2014/09/28 20:29
- 名前: o6asan
- こんばんは。
Xserverもサーバの手当てはもう終わっているでないですか。いつもきっちりしているほうですし。
レンタルサーバの場合, OS はだいたいホスティング会社が管理担当でしょう?今回の場合の Bash は,
管理会社のほうで手当てさえ終わっておけば,連絡は月曜日でもというスタンスではないですか。
くりくりさんのところが連絡が早かったというのも,くりくりさんのほうで対処すべき構造になっていたから
ではないかと思います。それでも,そういう連絡の早い会社って,何となく信用できるという気になりますね。
後知恵ですが,Robert Graham がテストスキャンをしたのも,JPCERT/CC Alert も時差はありますが,25日で
したから,日本の騒ぎが大きくなるのはこれからかもしれません。
しかし, http://goo.gl/D1s6we のコメントを読むと影響はどこまであるのかと,不安になってくるのも
確かです。何か,大手で対処の甘いサイトがあって,悪性コード仕込まれてビジターが被害を受けるとかいう
シナリオが脳裡をよぎって怖いんですよね(汗)。
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.15 ) |
- 日時: 2014/09/28 20:39
- 名前: o6asan
- ---> くりくりさん
> webサーバーは特に制限はしてません。
> FTPとSSHのみTCP Wrapperをつかってます。
そうなんですか。何となく,国外を禁止していると思い込んでいました。
失礼しました。うちは確かに,日ごろから結構よそからのアクセスが多いです。
加えて昔からの流れで,スラブ語圏からのアクセスが多いんです。最近のウクライナとかロシアとか
いかがわしいところが多くて,本当は国別でシャットアウトしたいんですが,なかなか難しい
面もあって,ずーっと,二の足を踏みっぱなしです。 
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.16 ) |
- 日時: 2014/09/29 07:31
- 名前: くりくり
- おはようございます。
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/092600066/?ST=security&P=1
とりあえず今の所大規模な攻撃はないみたいですね。
pleskはCVE-2014-7169が大丈夫かどうかレンタルサーバーに聞いて、
今日は仕事てをぬきます。疲れた(w
追記
CVE-2014-7169に対して
pleskもやっぱりバージョンアップが必要でした。
それと脆弱性を狙った攻撃がちょこちょこでてきました。
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.17 ) |
- 日時: 2014/09/29 21:01
- 名前: ばなな缶
- お久しぶりです。
仙台と福島市で2泊する事があったため、久々にネットをする感覚です。
久々に来たら、なんかGUI系に貧弱があったようですね。
他にも見つかってワラワラ出てきそうですが…
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.18 ) |
- 日時: 2014/09/30 06:39
- 名前: りり
- はい。ばなな缶さんの方でも、何か情報が得られましたら、よろしくお願いします。
くりくりさんがリンクしてくださった日経コンピュータの記事では
>さらに問題なのが、「ルーターなどのネットワーク機器も影響を受ける」(ラック 取締役 最高技術責任者 西本逸郎氏)ことだ。ネットワーク機器にLinuxなどが組み込まれていて、脆弱性のあるbashが動作している可能性があるという。
>安全な通信を行うためのプロトコル「SSH」のサーバーも被害に遭う恐れがある。SSHサーバーにログインできるユーザー(アカウントを持っているユーザー)なら、「許可されていないコマンドを実行できる」
>bashを明示的に呼び出していなくても、知らないうちに呼び出されている場合は少なくないからだ。「例えば、Perlで処理するCGIスクリプトであっても、コマンド実行などのために、bashが呼び出されることがある」
などと書いてあって、サーバ運用とかしていない普通の人たちにも関係してくるのかな?と、思いました。
あと、改変されたサイトにアクセスする危険性もありますしね。
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.19 ) |
- 日時: 2014/09/30 07:46
- 名前: くりくり
- おはようございます。
どうやら2回bash(CVE-2014-6271 および CVE-2014-7169)のアップデータがきましたが、
それでも不十分らしく継続的なチェックが必要です。
9/29 12:00 更新
NVD の情報 CVE-2014-6277 によると、本脆弱性に対する CVE-2014-6271 および CVE-2014-7169 での修正が不十分である可能性があります。現時点で公開や提供されている対策を実施した上で、今後も各製品ベンダが提供する情報を継続的に確認してください。
http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
|
| Re: シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性 ( No.20 ) |
- 日時: 2014/09/30 10:09
- 名前: o6asan
- Bash bug: apply Florian's patch now (CVE-2014-6277 and CVE-2014-6278)
http://lcamtuf.blogspot.jp/2014/09/bash-bug-apply-unofficial-patch-now.html
というのがありまして,中に, CVE-2014-6271 および CVE-2014-7169 での修正レベルを検証するテスト
コードの記述がありました。
foo='() { echo not patched; }' bash -c foo
で「not patched」が戻ってくれば不十分,「コマンドが見つかりません」が返ってくれば,現時点の
CVE-2014-6271 ⇒ CVE-2014-7169 ⇒ CVE-2014-6277 ⇒ CVE-2014-6278
までは,パッチ済とのことです。
私のVMWare 上のCentOS6.5 では,bash-4.1.2-15.el6_5.2.i686 のバージョンで
「コマンドが見つかりません」が返って来ました。
同様の内容をうちの記事にも追記しました。
http://o6asan.com/blog-j/?p=8569
|
シェルプログラムbashにてリモートから任意のコードが実行できる脆弱性