GNU bash の脆弱性に関する注意喚起

bash の脆弱性が話題になってますが・・・。
JPCERT によると、

・・・外部からの入力が、GNU bash の環境変数に設定される環境において、遠隔の第三者によって任意のコードが実行される可能性があります。・・・

とのこと。

「外部からの入力が bash の環境変数に設定される環境」って普通にあるのかな？
ウェブ系のエンジニアではないので、詳しくはわかりませんが・・・。

bashにコードインジェクションの脆弱性「Shellshock」、管理者に大きなショック：影響範囲はどこまで？ - ＠IT
Shellshockが深刻な問題とされている大きな理由は、WebサーバーがCGIスクリプトを実行する際の受け皿としてbashが利用されているケースが多いからだ。しかも、「CGIは入力値を環境変数として扱うので、攻撃者が任意の内容を設定しやすい」（ラック）。例えば、掲示板やチャットなどのCGIを実行しているWebサーバーは、この脆弱性の影響を受けると考えられるという。シェルでスクリプトではなく他の言語でCGIを記述していても、system()を呼び出す場合は同じく脆弱性の影響を受けるという指摘もある。

なるほど！
CGI が環境変数を使って入力値を受け渡ししているんですね。
これは、ウェブ管理者はビビりますね^^;

対策としては、ウェブサーバー側で早急にパッチを当てることになります。

OS X は UNIX で、ターミナルのデフォルトシェルは bash ですので、今回の脆弱性の影響を受けますが。
アップルは以下のように発表しているそうです。

Apple曰く、OS Xのユーザのほとんどはbashの悪用に対して安全 | TechCrunch Japan

つまり、普通に家や会社で使っている Mac にはまず影響はありません。
ウェブサーバー等で外部に公開されていて「高度な UNIX サービスを構成して」いなければ、全然問題ありません。^^;
それでももちろんパッチが公開されたらすぐに適用すべきであることは、言うまでもありません。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

MacBook Air のアクセサリならなんでもほぼそろってる♪
MacBook Air 専門店