« ソニー、ハイレゾ対応ウォークマン「Aシリーズ」発表 | トップページ | 本宮もか in 大宮公園水泳場(2014/9/21) »

2014年9月27日 (土)

Shellshock

LinuxやMac OS XなどのUNIX系OSで使われているシェルプログラム「bash」に脆弱性が発見され、大きな波紋を呼んでいます。
#元記事はこちら

この脆弱性はコマンドインジェクションの一種で「Shellshock」と呼ばれるもので、シェルの環境変数として外部入力を受け入れる設定となっている環境では、最悪の場合、リモートから任意のコマンドを実行される恐れがあるというもの。どのようなものかというと、bashの環境変数の処理に問題があり、細工を施した環境変数を受け入れた場合、そこに含まれる任意のコマンドまで実行してしまうというもの。サーバー側の権限設定にもよりますが、システム内の情報を盗み見られたり、サーバーを改ざんされたりするなど、大きな影響を受ける恐れがあるということです。
この脆弱性が問題視されるのは、WebサーバーがCGIスクリプトを実行する際の受け皿としてbashが利用されているケースが多いため。また、slashdotの記事によると、この脆弱性を利用したbotプログラムも登場しているとのこと。

この脆弱性に対しては、bashの開発元であるGNU Projectや各Linuxディストリビューターから提供されているパッチを適用することで対処できるとのこと。なお、サーバーについては、「サーバー上で動作する各種サービスのアクセス権限を管理する」「サーバーに対するアクセスを監視する」「外部から内部のファイルなどを読み出そうとする 動きやWebサーバーの改ざんを検知する仕組みを作っておく」といった、基本的なセキュリティ対策をしっかりと行っておくことが重要としています。

| |

« ソニー、ハイレゾ対応ウォークマン「Aシリーズ」発表 | トップページ | 本宮もか in 大宮公園水泳場(2014/9/21) »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: Shellshock:

« ソニー、ハイレゾ対応ウォークマン「Aシリーズ」発表 | トップページ | 本宮もか in 大宮公園水泳場(2014/9/21) »