セキュリティ研究者は、数百万台のコンピュータで使用されているシステム ソフトウェアの脆弱性を発見し、攻撃者が Web サーバー、他の Linux ベースのマシン、さらには Mac コンピュータ上で任意のコマンドを実行できる可能性を広げました。
一部の研究者は、Bash と呼ばれるアプリケーションに影響を与える Shellshock (そのため、単に「Bash バグ」と呼ばれることが多い) は、4 月に発見された Heartbleed バグよりも深刻で広範囲にわたる可能性があると述べていますが、2 つの脆弱性は本質的にまったく異なります。
[slug="ハートブリードナイトメア"も参照]
さまざまなインターネット サービスのパスワード変更をユーザーに強制した Heartbleed とは異なり、Shellshock には現時点で平均的なユーザーにとって簡単な解決策がないようです。ほとんどの場合、パッチを発行するかどうかはシステム管理者とソフトウェア会社に任されます。
デバイスは、Unix ソフトウェアである Bash を使用して「シェル」コマンドを実行します。シェルは、コマンドをデバイスの OS が理解できるものに変換するプログラムです。通常、シェルはその仕事を行うために、コマンドとは別に、どのソフトウェアが実行されているかなどの情報を確認する必要があります。 Shellshock が行うことは、ハッカーがそのプロセスに悪意のある情報を追加する道を開くことです。
新しい MacBook Air の Bash シェルで実行されたテストにより、このコンピュータが新たに発見された Bash バグに対して脆弱であることが判明しました。 クレジット: Stan Schroeder、Mashable
シェルショックは水曜日に公開された。あパッチ適用済みバージョンBash の機能はすぐに利用できるようになりました。ただし、Red Hat のセキュリティ チームは、このパッチが不完全。
このバグが問題となるのは、Bash が Mac OS X や多くの Linux マシンのデフォルト シェルであり、多くの Web サーバーでも Bash が使用されているという事実です。私は自分の MacBook Air で Bash をテストしましたが、案の定、脆弱であることがわかりました (上の画像を参照)。
さらに悪いことに、多くのアプリケーションがさまざまな理由で Bash を呼び出しており、この脆弱性を悪用するさまざまな方法への道が開かれているという事実があります。
この脆弱性を最初に発見した Red Hat のセキュリティ チームは、説明するこれ: 「この問題は、Bash シェルを使用し、環境変数の値を解析するすべての製品に影響します。アプリケーションから Bash を呼び出す方法は数多くあるため、この問題は特に危険です。アプリケーションが別のバイナリを実行する場合、非常に多くの場合、Bash はBash シェルが広く使用されているため、この問題は非常に深刻であり、そのように扱う必要があります。」
Jim Revis を含む数名のセキュリティ専門家クラウドセキュリティアライアンスロバート・グラハムより正誤表のセキュリティBash のバグは、2016 年に発見された OpenSSL 暗号化ソフトウェア ライブラリの脆弱性である Heartbleed と同等かそれ以上である可能性があると主張しています。4月。
グラハムスキャンを実行しました多数の Web サーバーの脆弱性を調べると、脆弱な 3,000 のシステム (潜在的にはさらに多くのシステム) を簡単に見つけることができます。
この脅威を軽減するには、Web サーバー管理者が最新バージョンの Bash を使用していることを確認する必要があります。一般ユーザー向けに、パッチ適用プロセスについては次の場所で説明されています。StackExchangeただし、注意してください。適用するには、一定レベルのコマンド ライン レベルの知識が必要です。
Heartbleed 暗号化バグとは何ですか?
