- Win32API質問箱 Build118
464 :デフォルトの名無しさん[sage]:2014/09/26(金) 14:21:26.30 ID:jD/A1f81 - gridviewでエクセルもどきを実装してるひとはいた
|
- 【独学】一人で勉強する奴らのスレ【自習】
435 :デフォルトの名無しさん[sage]:2014/09/26(金) 14:40:35.24 ID:jD/A1f81 - 【IT】「bash」シェルに重大な脆弱性、開発元がパッチ公開 [14/09/25]
http://daily.2ch.net/test/read.cgi/newsplus/1411612522/
多くのUNIXおよびLinuxのユーザーに利用されている「Bourne Again SHell(Bash)」に重大な
セキュリティホールが発見された。このセキュリティホールはBashによる環境変数の評価方法に起因している。
ハッカーは特別に作成した変数を用いてセキュリティホールを突き、シェルコマンドを実行できる。これにより
サーバはさらなる本格的な攻撃に対して脆弱な状態となる。
数ある他のセキュリティホールと同様に、今回のセキュリティホールも悪用するには高レベルのアクセス権が
必要だ。しかしRed Hatのセキュリティチームによると、ハッカーは特定のサービスやアプリケーションを
経由することで、認証なしにリモートから環境変数を入力し、セキュリティホールを悪用できるという。
ルート権限(スーパーユーザー権限)でスクリプトを呼び出すアプリケーションをハッカーに悪用されると、
サーバに破壊的な損害を引き起こされる可能性がある。
Bashがシステムシェルとして広く普及していることが、今回の問題を深刻化させる要因となっている。
アプリケーションがHTTPやCGIを通じて、ユーザーがデータを挿入できる形でBashシェルコマンドを
呼び出すと、そのウェブサーバは攻撃に対して脆弱な状態となる。Akamai Technologiesの
チーフセキュリティオフィサーであるAndy Ellis氏によれば、ユーザー入力を評価してシェル経由で別の
アプリケーションを呼び出すタイプのアプリケーションは、今回発見されたセキュリティホールの影響を受ける可能性があるという。
このセキュリティホールを抜本的に解決するには、脆弱性のあるBashを新しい安全なバージョンに置換する
必要がある。米国時間9月24日朝の時点で、Bashの開発元からすべての現行バージョンをアップデートする
パッチがリリースされている。また、DebianとRed Hatはパッケージ化されたパッチを公開している。
ディストリビューターからのパッチを待たず、アプリケーションに対する危険な入力を排除したり、シェルを
呼び出す古いCGIスクリプトを無効化して新しいスクリプトに置換したり、Bash自体を別のシェルに
置換するなどの回避策を実施することも重要だ。
|
- 【独学】一人で勉強する奴らのスレ【自習】
437 :デフォルトの名無しさん[sage]:2014/09/26(金) 14:55:42.62 ID:jD/A1f81 - >Cなどやったあと
組み込み?
どの程度理解してたかにもよるけど
webとか業務系とか勉強する気があるなら
大丈夫なんじゃない?
|