- プログラミング雑談スレ♯+++
243 :デフォルトの名無しさん[sage]:2014/09/26(金) 12:57:11.30 ID:dz5SWLeo - 【IT】「bash」シェルに重大な脆弱性、開発元がパッチ公開 [14/09/25]
http://daily.2ch.net/test/read.cgi/newsplus/1411612522/
多くのUNIXおよびLinuxのユーザーに利用されている「Bourne Again SHell(Bash)」に重大な
セキュリティホールが発見された。このセキュリティホールはBashによる環境変数の評価方法に起因している。
ハッカーは特別に作成した変数を用いてセキュリティホールを突き、シェルコマンドを実行できる。これにより
サーバはさらなる本格的な攻撃に対して脆弱な状態となる。
数ある他のセキュリティホールと同様に、今回のセキュリティホールも悪用するには高レベルのアクセス権が
必要だ。しかしRed Hatのセキュリティチームによると、ハッカーは特定のサービスやアプリケーションを
経由することで、認証なしにリモートから環境変数を入力し、セキュリティホールを悪用できるという。
ルート権限(スーパーユーザー権限)でスクリプトを呼び出すアプリケーションをハッカーに悪用されると、
サーバに破壊的な損害を引き起こされる可能性がある。
Bashがシステムシェルとして広く普及していることが、今回の問題を深刻化させる要因となっている。
アプリケーションがHTTPやCGIを通じて、ユーザーがデータを挿入できる形でBashシェルコマンドを
呼び出すと、そのウェブサーバは攻撃に対して脆弱な状態となる。Akamai Technologiesの
チーフセキュリティオフィサーであるAndy Ellis氏によれば、ユーザー入力を評価してシェル経由で別の
アプリケーションを呼び出すタイプのアプリケーションは、今回発見されたセキュリティホールの影響を受ける可能性があるという。
このセキュリティホールを抜本的に解決するには、脆弱性のあるBashを新しい安全なバージョンに置換する
必要がある。米国時間9月24日朝の時点で、Bashの開発元からすべての現行バージョンをアップデートする
パッチがリリースされている。また、DebianとRed Hatはパッケージ化されたパッチを公開している。
ディストリビューターからのパッチを待たず、アプリケーションに対する危険な入力を排除したり、シェルを
呼び出す古いCGIスクリプトを無効化して新しいスクリプトに置換したり、Bash自体を別のシェルに
置換するなどの回避策を実施することも重要だ。
|
- JavaScript 3
818 :デフォルトの名無しさん[sage]:2014/09/26(金) 12:59:23.88 ID:dz5SWLeo - 【IT】「bash」シェルに重大な脆弱性、開発元がパッチ公開 [14/09/25]
http://daily.2ch.net/test/read.cgi/newsplus/1411612522/
多くのUNIXおよびLinuxのユーザーに利用されている「Bourne Again SHell(Bash)」に重大な
セキュリティホールが発見された。このセキュリティホールはBashによる環境変数の評価方法に起因している。
ハッカーは特別に作成した変数を用いてセキュリティホールを突き、シェルコマンドを実行できる。これにより
サーバはさらなる本格的な攻撃に対して脆弱な状態となる。
数ある他のセキュリティホールと同様に、今回のセキュリティホールも悪用するには高レベルのアクセス権が
必要だ。しかしRed Hatのセキュリティチームによると、ハッカーは特定のサービスやアプリケーションを
経由することで、認証なしにリモートから環境変数を入力し、セキュリティホールを悪用できるという。
ルート権限(スーパーユーザー権限)でスクリプトを呼び出すアプリケーションをハッカーに悪用されると、
サーバに破壊的な損害を引き起こされる可能性がある。
Bashがシステムシェルとして広く普及していることが、今回の問題を深刻化させる要因となっている。
アプリケーションがHTTPやCGIを通じて、ユーザーがデータを挿入できる形でBashシェルコマンドを
呼び出すと、そのウェブサーバは攻撃に対して脆弱な状態となる。Akamai Technologiesの
チーフセキュリティオフィサーであるAndy Ellis氏によれば、ユーザー入力を評価してシェル経由で別の
アプリケーションを呼び出すタイプのアプリケーションは、今回発見されたセキュリティホールの影響を受ける可能性があるという。
このセキュリティホールを抜本的に解決するには、脆弱性のあるBashを新しい安全なバージョンに置換する
必要がある。米国時間9月24日朝の時点で、Bashの開発元からすべての現行バージョンをアップデートする
パッチがリリースされている。また、DebianとRed Hatはパッケージ化されたパッチを公開している。
ディストリビューターからのパッチを待たず、アプリケーションに対する危険な入力を排除したり、シェルを
呼び出す古いCGIスクリプトを無効化して新しいスクリプトに置換したり、Bash自体を別のシェルに
置換するなどの回避策を実施することも重要だ。
|
- 【初心者歓迎】C/C++室 Ver.92【環境依存OK】
833 :デフォルトの名無しさん[sage]:2014/09/26(金) 13:03:30.66 ID:dz5SWLeo - 跳んだ番号がいちいち気になるひとってなんなの?
|
- 【ActiveScript】RubyをWindowsで使うスレ【GUI】
894 :デフォルトの名無しさん[sage]:2014/09/26(金) 13:05:56.06 ID:dz5SWLeo - 実際ソフト公開したことある人なら知ってる
クレクレ厨のいかにクレクレかということを
|