先週、Bash Unix コマンドラインインタープリタの重大な脆弱性である Shellshock に対するパッチをコンピュータに適用したことを確認したシステム管理者は、追加の攻撃ベクトルに対処する新しいパッチをインストールする必要があります。
Shellshock の脆弱性は、もともと Akamai Technologies のセキュリティ研究者 Stephane Chazelas 氏によって発見されたもので、Bash をデフォルトのシェルとして使用している Linux や Mac OS X などのシステム上でリモートでコードを実行するために、いくつかの方法で悪用される可能性があります。
さらに読む: Shellshock から安全: Bash シェルのバグから自宅のコンピュータを守る方法
このバグは Bash に長年存在しており、Linux はサーバーから産業機器、組み込み電子機器までさまざまなデバイスで使用されているという事実は、この欠陥の影響が潜在的に非常に大きいことを意味しています。
Shellshockは水曜日に公開され、同時に修正パッチもリリースされました。この脆弱性は、Common Vulnerabilities and Exposures(共通脆弱性識別子)データベースでCVE-2014-6271として追跡されています。しかし、研究者たちはすぐに、別のCVE-2014-7169という識別子が割り当てられた新たな攻撃手法で、この脆弱性を回避する方法を発見しました。
CVE-2014-7169に対する2つ目のパッチがリリースされましたが、どちらのパッチもリモートから発信された文字列を解析するという根本的なリスクのある動作に対処していなかったため、事態はそこで終息しませんでした。関連するバグは次々と発生し、クラッシュを引き起こす以外に実際にセキュリティリスクをもたらすかどうかは不明ですが、CVE-2014-7186およびCVE-2014-7187として追跡されるようになりました。
ロバート・グラハムGoogleのセキュリティエンジニアであるミハル・ザレフスキ氏によると、このことがきっかけで、Red Hatの製品セキュリティ研究者であるフロリアン・ワイマー氏は、より耐久性のあるアプローチを採用した非公式パッチを開発したという。
「フロリアンの修正により、現在考えられるほぼすべての重要なユースケースにおいて、関数の解析コードが攻撃者が制御する文字列から効果的に分離されます」とザレウスキー氏は個人ブログの投稿で述べた。
Weimer氏のパッチは、BashプロジェクトのメンテナーであるChet Ramey氏によって土曜日にBash-4.3公式パッチ27(bash43-027)としてアップストリームに採用されました。この修正は、Zalewski氏が発見し、これまで公表されていなかったShellshock関連のリモートから悪用可能な2つの問題にも対処しています。
Zalewski 氏が発見した問題は CVE-2014-6277 および CVE-2014-6278 として追跡されており、研究者によると後者はこれまでに発見された中で最も深刻な問題だという。
「これは最初の報告に似た『ここにコマンドを入力してください』タイプのバグです」とザレウスキー氏は述べ、最初のバグに対するパッチが適用されたシステム上で、簡単にリモートコード実行が可能になると述べました。「現時点では、お使いのディストリビューション(Linuxディストリビューション)に既にパッチが同梱されていない限り、フロリアン氏のパッチを手動で適用することを強くお勧めします。」
ユーザーは、コマンドラインに「foo='() { echo not patched; }' bash -c foo」と入力することで、最新のパッチがインストールされているかどうかを確認できます(引用符は不要です)。コマンドの応答が「not patched」の場合、システムはZalewski氏が発見した問題に対して脆弱です。これらの問題はZalewski氏が数日以内に公開する予定です。応答が「command not found」の場合、システムはパッチが適用されています。
