UNITED STATES COMPUTER EMERGENCY READINESS TEAM |
US-CERTは9月24日(米国時間)、「Bourne Again Shell (Bash) Remote Code Execution Vulnerability|US-CERT」においてbashが抱えているセキュリティ脆弱性について伝えた。該当するソフトウェアを使用している場合にはベンダやプロジェクトの今後の発表に注意し、アップデートが提供された場合には迅速にアップデートを適用することが推奨される。
bashのセキュリティ脆弱性(通称ShellShock)を悪用されると、bashシェルスクリプトなどで環境変数を通じて任意のコマンドを実行される危険性がある。これはbashが環境変数内に関数が定義されている場合にそれを実行するという処理に原因があり、bash以外の主なシェル(zsh、ash、dash、csh、tcshなど)にはこうした問題は存在していない。
この問題はシステムのデフォルトシェルとしてbashを採用しているオペレーティングシステムにおいて特に注意する必要がある。Mac OS XやRed Hat Enterprise Linux、CentOS、Fedora、Amazon LinuxなどのLinuxディストリビューションの多くがbashをデフォルトのシェルとしており、これらオペレーティングシステムでWebサーバやなんらかの文字列が入力されるタイプのサーバを運用している場合、巡り巡って環境変数がプロセスからプロセスへ引き継がれどこかの段階でbashによって展開され実行される危険性がある。