読者です 読者をやめる 読者になる 読者になる

CentOS6.0でbashの脆弱性を調べる

わが家で使用しているVMware Player上のCentOS6.0でも、例のbash 脆弱性が再現できるか試してみました。
以下の太字部分が今回調べるために使用したコマンドです。
…赤字部分が表示されていると問題とのこと。

$ bash --version
GNU bash, version 4.1.2(1)-release (i686-pc-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later http://gnu.org/licenses/gpl.html

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
$
$
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

結論:見事に脆弱性を受ける可能性があるということが分かった。


今回は問題を見つけるだけでしたが、これが何が問題でどう対策すればいいのはまた今度のお話…(

参考:bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog