Bashに脆弱性って・・・影響範囲広すぎですしホント勘弁してください
9月24日に報告されたbashの脆弱性「ShellShock」。
システムの運用保守を担当されている方はこの数日間は対応に追われる日々だったかと思います。(私も対応に追われておりました・・・。月末月初は普段より忙しいので勘弁して欲しいものです。)
既にこの脆弱性を悪用したマルウェアが出ているとか、まだ大きな影響は出ていないとか情報が錯綜しており落ち着くまでには暫く時間がかかりそうですが、もし当サイトを閲覧されている方がサーバ運用保守担当の方であればできるだけ早く対応することをオススメします。
また、今回は少しでも対応の参考になればと思い、そのShellShockの脆弱性が存在するか確認する方法と対応手順を紹介したいと思います。
※今回ご紹介する手順はCentOS5系・6系及びRHEL5系・6系で確認しておりますが、実施には自己責任でお願い致します。
脆弱性があるか確認
■以下のコマンドを実行する。
# env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
実行結果が下記のように表示される場合、脆弱性が存在することになりますので対応が必要です。
vulnerable
this is a test
※基本的に修正パッチを適用前のバージョンであれば全てが対象となります。
対応方法について
今回の脆弱性の対応方法として、大まかに以下の方法が考えられます。
①bashに修正パッチを適用する
②bash以外のシェルを使用する
③変数サービスへのアクセス制限を実施する
④フィルタリングによるインプット制限を実施する
ただ、作業工数や影響範囲等の兼ね合いから、「①のbashに修正パッチを適用する」対応になるかと思いますので、今回はサーバへ修正パッチを適用する方法を記載します。