「直ちに」Bashにパッチを:OS XやLinuxのシステムを破壊し無防備にする「Shellshock」バグ~Heartbleed級のリモートコード実行可能な脆弱性が、CGIスクリプトからDHCPクライアントまで影響(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.26(月)

「直ちに」Bashにパッチを:OS XやLinuxのシステムを破壊し無防備にする「Shellshock」バグ~Heartbleed級のリモートコード実行可能な脆弱性が、CGIスクリプトからDHCPクライアントまで影響(The Register)

今回のBashの欠陥にShellshockという名前を提案した、Errata SecurityのRobert Grahamもまた、このプログラミングのへまはHeartbleedと同様に深刻だと言う。ただし次のように言及している。

国際 TheRegister
更新版 : 広く使われているBashコマンドインタープリタに見つかったバグは、深刻なセキュリティ上のリスクをUnixやLinuxのシステムにもたらす。こういったシステムは普遍的に使われているため、インターネット全体に対するものになっている。

無数のWebサイト、サーバ、PC、OS X Mac、各種のホームルータ、その他いろいろが、ハッカーによって乗っ取られる危険に陥っている。

この脆弱性は4.3以前のバージョンのBashに存在しており、Stephane Chazelasが発見した。侵害のリスクに特にさらされているのはApache Webサーバだ。なんらかの方法でBashを使用または起動するCGIスクリプトや、CGIスクリプトにより起動される子プロセスのBashは、リモートコードインジェクションに対して脆弱である。OpenSSHと一部のDHCPクライアントも、Bashを使用しているマシン上では影響を受ける。

《翻訳: Images & Words, Inc.》

関連記事

PageTop

特集

アクセスランキング

  1. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  2. 「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

    「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

  3. 権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

    権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

  4. 会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

    会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

  5. DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

    DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

  6. 帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

    帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

  7. 「セキュリティはチームスポーツ」CrowdStrike Services、Mark Goudie 氏インタビュー

    「セキュリティはチームスポーツ」CrowdStrike Services、Mark Goudie 氏インタビューPR

  8. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  9. 新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

    新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

  10. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

ランキングをもっと見る