Bashの脆弱性・・・・やばいんでないの・・・
9/25にニュースにも出ていて、
「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も
それで、継続の記事がこんなことも
危なすぎるBashの脆弱性「Shellshock」、深刻な事態になる前に対策を
『攻撃者に任意のコマンドの実行を許可してしまうおそれがある。』ってことなんで、大変なことです。今結構 ウェブサーバや、DNSサーバ、メールサーバ等は、Linuxで動いている物が多く、Bashも普通に使っているので、結構やばい話です。
パソコンでもMacは基本Unixなので、Bashが組みこまれています。(コンソール画面でも確認できます)
やばいっていう具体的な内容は、上記にも記述がありましたが、抜粋して
====================
悪用のシナリオとして、現在最も危ないとされているのが、公開用Webサーバーで動かしているCGIスクリプトである。CGIスクリプトはWebブラウ ザーから送信されたパラメータ(Webブラウザーの種類を表す「HTTP_USER_AGENT」など)を環境変数として格納する。このため、CGIスク リプトからbashが呼び出される場合には、環境変数にコマンドを仕込むことで攻撃が可能になる。
===================
うわ~~~ 本当にまずい・・・・一応 ネットには公開していない自分のサーバもアップデートは定期的にかけているのですが、手動でアップデートすぐにかけました。
ちょっと気になるのが、NASとかは、中身がFreeBSDか、Linux系のはずで、もちろんBashは乗っているのはずです。(中身を公開しているメーカーはあまりないので、わかりませんが・・・ソースを公開してくれてメーカーがいてみたことあるのと、代替Sambaを動作させているところからの想像ですが、ほぼあっているはずです)メーカー側の早急な対応があるのか、気になります。(お客様に迷惑がかかってもいけないので・・・・)
これまた上記からの抜粋ですが
===========================
問題は、ルーターなどのネットワーク機器に組み込まれている場合だ。「サーバー管理ツールなどに知らずに組み込まれていることもある」
===========================
NASを導入している人もアップデート情報はこまめにチェックしたほうがよいでしょう