@Shellshock
@フォロワー #0
[danger][Shellshock]bashにコードインジェクションの脆弱性の対応方法について @Shellshock @danger
iQi @回答 • 2014-10-01 20:23 • @フォロワー #2 • 1 回答 • 1462 Views
0
①検証方法:
{{{
env -i X='() { (a)=>\' bash -c 'echo date'; cat echo
}}}
問題あるサーバーは「date」を出力せず、システム時間を表示
問題無いサーバーは「date」文字を出力している。
...
①検証方法:
{{{
env -i X='() { (a)=>\' bash -c 'echo date'; cat echo
}}}
問題あるサーバーは「date」を出力せず、システム時間を表示
問題無いサーバーは「date」文字を出力している。
※「date」文字を出力すれば、問題ないという認識でOKです。
②対応方法:
centos
{{{
yum clean all
yum makecache
yum -y update bash
}}}
ubuntu:
{{{
apt-get update
apt-get -y install --only-upgrade bash
}}}
debian:
{{{
apt-get update
apt-get -y install --only-upgrade bash
}}}
opensuse:
{{{
zypper clean
zypper refresh
zypper update -y bash
}}}
③これはまとめた最終対応方法です。早めに対応することをおすすめします。
{{{
env -i X='() { (a)=>\' bash -c 'echo date'; cat echo
}}}
問題あるサーバーは「date」を出力せず、システム時間を表示
問題無いサーバーは「date」文字を出力している。
※「date」文字を出力すれば、問題ないという認識でOKです。
②対応方法:
centos
{{{
yum clean all
yum makecache
yum -y update bash
}}}
ubuntu:
{{{
apt-get update
apt-get -y install --only-upgrade bash
}}}
debian:
{{{
apt-get update
apt-get -y install --only-upgrade bash
}}}
opensuse:
{{{
zypper clean
zypper refresh
zypper update -y bash
}}}
③これはまとめた最終対応方法です。早めに対応することをおすすめします。