Debian squeezeでShellShock対策

このエントリーをはてなブックマークに追加

Debianは探しても見つからなかったので…(´・_・`)

ShellShock(CVE-2014-6271)

CVE-2014-6271(とCVE-2014-7169)として、bashに第三者から任意のコードが実行される脆弱性が見つかりました。
GNU bash の脆弱性に関する注意喚起
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた
Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研

bashで以下のスクリプトを実行し、出力文字列にvulnerableが出てきたらまずい状態です。

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

修正パッチ状況

この問題に対しては(まだ不十分ですが)修正パッチが公開されており、また各ディストリビューションでも修正したbashが配布されています。

Redhad系の対策はこちら
2014/09/24に発表されたBash脆弱性と解決法(RedHat系)
Mac OS X系の対策はこちら
CVE-2014-6271のbashの脆弱性に対応する方法  

私の使っているDebian(squeeze)でも、パッチが適応されたbashを配布しています。
https://security-tracker.debian.org/tracker/CVE-2014-6271

修正版へのアップデート

修正されたbashはsqueezeの通常のリポジトリには修正版は公開されておらず、
ltsリポジトリを参照する必要があります。(2014/09/26 7:00現在)
LTS/Using - Debian Wikiにリポジトリが書いてあるので、それをapt-getの参照先に追加します。

/etc/apt/sources.list.d`に、lts.listを作り、以下のように書き込みます。

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

(手元に環境がないので確認できませんが、おそらくWheezyでは以下のリポジトリで行けると思います)

deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main

この状態で

sudo apt-get update
sudo apt-get install bash

をすることで、新しくできます。

ただし、この修正だけでは不十分という指摘があり、今後さらなる修正パッチが出てくる可能性があります。
おそらく同じリポジトリに更新が来ると思うので、上記の手順を実行したならば、
apt-getのupdateinstall bashだけですむと思われます。