読者です 読者をやめる 読者になる 読者になる

Elaboration in, Garbage out

Twitt*r ではメモできない何かそれ的なモノ・コトを

ShellShock: Bash 脆弱性

いやー,すっげぇ脆弱性があるもんですな.SQL Injection なみ?
幸い,個人的に公開してるサーバには攻撃はきてないみたい*1
関心している場合ではないんだが,とりあえず

bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
を読みましょう.

脆弱性があるかの確認コマンド.

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

わるだくみコマンドも日本語情報でさえ探したら出てくるので,ゼロデイアタックを喰らわないよう気をつけましょう(という俺も対応が遅れたのだが……).

OSX の Marvericks も,"vulnerable" とでました.zsh に切り替える派もいるらしいけど,zsh も実は違う方法でアタックできちゃうとか…いう噂が.あくまでも噂.
とりあえず,リバーシプロキシ側ですべて防ぐという運用で行きます.

*1:まぁ HTTP 用のポートをランダムな値にしてるし,そもそもよくわかんないアクセスが来たら嫌な予感しかしない.