*NIX系OSのシェルの一つである bash に脆弱性が見つかった。
ざっくりいうと環境変数に含まれるシェルコードを解釈してしまうというもの。
HTTPでCGIなどを動作させていて、シェル経由の処理があると影響が出る。
その他、メールの受信時動作(.forward内でシェル呼び出しするようなもの)や
DHCP でも発生するらしい。
管理しているサーバすべてで影響があった。
とりあえず、パッチが出たので適用して対応。
(参考)
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)
Errata Security: Bash 'shellshock' scan of the Internet
Shellshock DHCP RCE Proof of Concept -
ALAS-2014-419
(9/27 追記)
ファイアウォール内のサーバに対するShellshockを利用した攻撃 - 葉っぱ日記
(9/28 追記)
リバースプロキシでCGIを呼び出しているのがどこかにあったような気がして調査。
Shellshock and Perl
Taint and Shellshock
qmail is a vector for CVE-2014-6271 (bash "shellshock") | Qmail | users
GNU Bashの環境変数処理の不備により任意のコードが実行される脆弱性(CVE-2014-6271,CVE-2014-7169)に関する検証レポート -- (n)
(9/28 追記2)
どこかに古いlinuxサーバがあったはず。ソースからリビルドする方向で検討。
MovableTypeを使用する人の、bashコマンドインジェクション脆弱性に対する緊急対応 - 銀の鍵 (The Silver Key)
(10/03 追記)
Shellshockの影響が及ぶケースをまとめてみた - piyolog
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog
[Linux][セキュリティ] shellshockはPerl/CGIでsystem()にダメージありや無しや - ろば電子が詰まっている
【30分で動かすシリーズ】Fabricでbash祭に対応してみる « サーバーワークス エンジニアブログ
OS X bash Update 1.0 - OS X Mavericks
OS X bash Update 1.0 - OS X Mountain Lion
CentOS 4 向けの情報(結局使わなかったけど)。
CentOS4でbashをアップデートする(ShellShockの件、あるいは、CentOS4でもう一度yumをつかう件) - uzullaがブログ
RHEL4/CentOS4向けのbash RPM(9/29 11:00修正) | OSAKANA TAROのメモ帳
脆弱性のチェックに役立ったのがこれ。
(10/04 追記)
GNU Bash Shellshock Vulnerability Sheet
Shellshock [PDF]
mubix/shellshocker-pocs · GitHub