ShellShock: Bash 脆弱性
いやー,すっげぇ脆弱性があるもんですな.SQL Injection なみ?
幸い,個人的に公開してるサーバには攻撃はきてないみたい*1.
関心している場合ではないんだが,とりあえず
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
を読みましょう.
脆弱性があるかの確認コマンド.
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
わるだくみコマンドも日本語情報でさえ探したら出てくるので,ゼロデイアタックを喰らわないよう気をつけましょう(という俺も対応が遅れたのだが……).
OSX の Marvericks も,"vulnerable" とでました.zsh に切り替える派もいるらしいけど,zsh も実は違う方法でアタックできちゃうとか…いう噂が.あくまでも噂.
とりあえず,リバーシプロキシ側ですべて防ぐという運用で行きます.
*1:まぁ HTTP 用のポートをランダムな値にしてるし,そもそもよくわかんないアクセスが来たら嫌な予感しかしない.