bash脆弱性(2014/9/24公開)対応について
はじめに
AWSチームの鈴木です。
2014/9/24、多くのLinuxディストリビューションのシェルとして採用されている「bash」に関する、脆弱性の報告がありました。
「bash」に危険度の高い脆弱性、修正パッチの適用と回避策の実施を
AWSがEC2用として提供しているLinux OSイメージ(AMI)にも当脆弱性の影響が及びます。 当記事ではその対応方法についてまとめます。
2014/10/01 update
yumによるパッチ適用、確認方法について、追記、修正を実施しました。
対処方法
パッチ適用済みのパッケージがリリースされています。 パッケージ管理システム(yum, apt-getなど)を利用してアップデートを実施します。
Amazon Linux
公式情報
アップデート
1)事前にキャッシュをクリア
$ sudo yum clean all
2)/etc/system-release で利用中のリリースバージョンを確認
$ cat /etc/system-release
※表示されたリリースバージョンごとに、下記3)の手順を参照ください。
3)各リリースバージョンにより以下を実行
Amazon Linux 2014.09の場合(最新版)
$ sudo yum update bash
Amazon Linux 2014.03の場合
$ sudo yum update --releasever=2014.03 bash
Amazon Linux 2013.09の場合
$ sudo yum update --releasever=2013.09 bash
Amazon Linux 2013.03, 2012.09, 2012.03, 2011.09の場合
$ sudo yum update --releasever=2013.03 bash
注意点 (10/1追記)
最新リリースバージョン以外のAmazon Linux環境をご利用中の場合、 「yum update」を実行する際、リリースバージョンの指定(--releasever=YYYY.MM)を行う事をお勧めします。
リリースバージョンの指定を省略した場合、glibcなどのライブラリパッケージが bashパッケージと同時にアップデートされる可能性があり、関連するアプリケーションの動作に 深刻な影響を及ぼすことがありますのでご注意ください。
参考情報
確認
Amazon Linux 2014.09,2014.03の環境では、「4.1.2-15.21」以降のバージョンに アップデートされた事を確認して下さい。
$ rpm -qa | grep bash bash-4.1.2-15.21.amzn1.x86_64
もしくは、bashのrpmパッケージのchangelogより、「CVE 2014-7169」、「CVE-2014-6271」の修正パッチが含まれている事を確認して下さい。
$ rpm -q --changelog bash | more * 金 9月 26 2014 Rodrigo Novo <[email protected]> - Added two remaining patches to fix CVE 2014-7169 (variables-affix & parser-oob) * 木 9月 25 2014 Rodrigo Novo <[email protected]> - Added patch eol-pushback.patch, fixes CVE-2014-7169 * 水 9月 24 2014 Matt Wilson <[email protected]> - apply patch for CVE-2014-6271
Ubuntu
公式情報
USN-2363-2: Bash vulnerability
アップデート
$ sudo apt-get update $ sudo apt-get install bash
確認
$ dpkg --list | grep "GNU Bourne Again SHell" ii bash 4.3-7ubuntu1.4 amd64 GNU Bourne Again SHell
まとめ
今回のbashの脆弱性については、既に攻撃事例も報告されています。
First Shellshock botnet attacks Akamai, US DoD networks
シェルスクリプトで書かれたCGIだけでなく、 各種フレームワークの外部コマンドとして実装されている機能(メール送信など)でも、 当脆弱性の影響が及ぶ可能性があります。 特に公開サーバに関しては早急な対応をおすすめします。