情報参考URL
- http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html
- http://alblue.bandlem.com/2014/09/bash-remote-vulnerability.html
- http://d.hatena.ne.jp/Kango/20140925/1411612246
- http://applech2.com/archives/41014500.html
脆弱性を検証する
ターミナル.appで
|
1 |
env x='() { :;}; echo vulnerable' bash -c "echo this is a test" |
と入力
vulnerable
this is a test
と表示されたのでパッチをあてる。
Xcode Developer Tools(Command Line Tools)インストール済み
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
cd Desktop mkdir bash-fix cd bash-fix curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf - cd bash-92 cd bash-3.2 curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0 cd .. xcodebuild sudo cp /bin/bash /bin/bash.old sudo cp /bin/sh /bin/sh.old build/Release/bash --version build/Release/sh --version sudo cp build/Release/bash /bin sudo cp build/Release/sh /bin |
追加→CVE-2014-7169
情報収集中。
2014.09.26追加
iOS 8.0.2が公開
http://support.apple.com/kb/HT1222?viewlocale=ja_JP
2014.09.27追記
Apple曰く、OS Xのユーザのほとんどはbashの悪用に対して安全 -http://jp.techcrunch.com/-
OS Xに含まれているUNIXのコマンドシェルでコマンド言語でもあるbashには、不正なアクセスをしたユーザがリモートで脆弱なシステムを操作できる弱点がある。
OS Xでは、システムはデフォルトで安全であり、ユーザが高度なUNIXサービスを構成していなければbashがリモートで悪用されることはない。
われわれは高度なUNIXユーザのためのソフトウェアアップデートを迅速に提供すべく、目下作業中である。
「Apple Says Majority Of OS X Users Are Safe From Bash Exploits」
「Apple: Most OS X users safe from ‘Shellshock’ exploit, patch coming quickly for advanced Unix users」
Appleの公式リリースのURLが見当たらない… 待とう。
https://opensource.apple.com/ -Apple Open Sourse-