GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に

2014年9月25日 16:41

小

中

大

印刷

記事提供元:スラド

90 曰く、 GNU Bashに新たな脆弱性が発見された(CVE-2014-6271)。環境変数を経由して関数定義を渡す場合に、細工をしてコマンドを実行させることができる。攻撃に使う環境変数の名前に制限はなく、たとえば内部的にshを実行するようなCGIに対してHTTP ユーザーエージェントを送る際や、ssh接続時に環境変数を渡す時など、環境変数を改変した状態でbashが呼ばれるようになっていれば攻撃ができる(ThreatPostCSO Online)。

 この脆弱性はすべてのバージョンの bashにあるとされ、Mac OS Xにも当該のバージョンが含まれるとされている。一部の Linux ディストリビューションではすでにアップデートを配布している。

 Red Hat Security Blogによると、脆弱性のあるバージョンでは以下の"echo vulnerable"の部分が予期せず実行される。

  $ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"

 スラッシュドットのコメントを読む | セキュリティセクション | Linux | セキュリティ | UNIX

 関連ストーリー:
プログラミング言語話題ランキングでBashが急上昇 2013年03月13日
「bash 4.0」リリース、4年7カ月ぶりのメジャー・アップデート 2009年02月25日

 

※この記事はスラドから提供を受けて配信しています。

「セキュリティ・プライバシー」の写真ニュース

IT・サイエンスの最新ニュース

RSS

もっと見る

主要ニュース

RSS

もっと見る

広告

広告

SNSツール

RSS

facebook

zaikeishimbun

いいね!

twitter

@zaikei_it

フォロー

google+

Hatena

広告

ピックアップ 注目ニュース