ShellShockに管理者はショック！パスワード定期変更の議論どころではない？：セキュリティクラスターまとめのまとめ 2014年9月版（2/3 ページ）

2014年9月はまた、大きな大きな脆弱性に振り回されました。その裏では、セキュリティクラスターのみんなが大好きなあの議論も……

LINE

Hatena

bashに重大な脆弱性「shellshock」が見つかってショック

　2014年9月24日には、LinuxやMacOSXなど、とてもたくさんのUNIX系OSで使用されているシェルの「bash」に、リモートからコードが実行できるという重大な脆弱性が見つかり、大きな話題となりました。シェルなので命令が実行されるのは当たり前のことなのですが、外部のユーザーが環境変数を送り込むことで、意図しないコードを実行できてしまいます。

　シェルの脆弱性なので、サーバーやPCの内部にしか影響がないように見えますが、PHPやPerlなどを利用したWeb系のサービスにおいても、内部的な処理にbashを利用していることがあるため、いま公開しているサービスが直ちに影響を受ける可能性もありました。そのため、たくさんの人が起こったことの大きさを把握するとともに、驚いた様子をツイートしていました。

　脆弱なサービスが動作してさえいれば、OSコマンドを実行させることが容易なため、セキュリティクラスターでもたくさんの人が、絶対に見えてはいけない「/etc/passwd」を表示させたりしていました。筆者も試しましたが、本当に簡単にサーバー内の任意のコマンドを実行することができました。

　「ShellShock」と名付けられたこの脆弱性は、攻撃コードを使ったスキャンツールがすぐに公開されたことや、ブラウザーのUser-Agentとして攻撃コードを設定するだけで脆弱性のあるスクリプトからコマンドを実行できることも分かったため、管理者は対応に追われました。早速ShellShockの攻撃を検知して、そのログをアップしている人も多く見られました。最初に提供されたパッチが完全ではなく、何度もアップデートを行うはめにあったり、アップデートに失敗してログインできなくなった人もいたようです。

　また、LinuxだけでなくMac OS XなどのOSや、QmailのようなMTA、ルーターやロードバランサーなどのネットワーク装置にも影響が及んでいたことも分かり、たくさんの機械をアップデートせざるを得なくなった人も多かったようです。

　bashが思ってもみないところまで使用されていたこともあり、とてもたくさんのサービスが影響を受けていましたが、それ以前の問題として外向きにシェル経由でコマンドを使うスクリプトを置いていることや、「信頼できない文字列の入力を認めるスクリプトを使っていることがすでにダメだ」という意見もありました。