この文書の現在のバージョンと選択したバージョンの差分を表示します。
— |
download_software:mae3xx:v2_1_13_bash_vulunerability:start [2014/09/26 20:30] (現在) admin 作成 |
||
---|---|---|---|
ライン 1: | ライン 1: | ||
+ | ====== v2.1.13 bash 脆弱性の確認 ====== | ||
+ | |||
+ | [[http://qiita.com/tomohisaota/items/8a8049eea11ece3781b3#2-5|bash脆弱性への対応 - Qiita]] から引用させていただいています。 | ||
+ | |||
+ | \\ | ||
+ | |||
+ | ===== 脆弱性の確認方法 ===== | ||
+ | |||
+ | 修正が適用されていない場合、下記コマンドを実行するとカレントディレクトリにechoというファイルが生成されます。 | ||
+ | |||
+ | <code> | ||
+ | env var='() {(a)=>\' bash -c "echo date"; cat echo | ||
+ | </code> | ||
+ | |||
+ | \\ | ||
+ | |||
+ | ==== v2.1.12 ==== | ||
+ | |||
+ | <code> | ||
+ | user1@plum:~$ cat /etc/version | ||
+ | MA-E3xx firmware version 2.1.12 (Fri Sep 26 10:59:35 JST 2014) | ||
+ | user1@plum:~$ env var='() {(a)=>\' bash -c "echo date"; cat echo | ||
+ | bash: var: line 1: syntax error near unexpected token `=' | ||
+ | bash: var: line 1: `' | ||
+ | bash: error importing function definition for `var' | ||
+ | date | ||
+ | Fri Sep 26 20:00:11 JST 2014 | ||
+ | user1@plum:~$ ls -l | ||
+ | total 4 | ||
+ | -rw-rw-r-- 1 user1 user1 29 Sep 26 20:00 echo | ||
+ | user1@plum:~$ | ||
+ | </code> | ||
+ | |||
+ | **脆弱性あり** | ||
+ | |||
+ | \\ | ||
+ | |||
+ | ==== v2.1.13 ==== | ||
+ | |||
+ | <code> | ||
+ | user1@plum:~$ cat /etc/version | ||
+ | MA-E3xx firmware version 2.1.13 (Fri Sep 26 20:10:16 JST 2014) | ||
+ | user1@plum:~$ env var='() {(a)=>\' bash -c "echo date"; cat echo | ||
+ | bash: var: line 1: syntax error near unexpected token `=' | ||
+ | bash: var: line 1: `' | ||
+ | bash: error importing function definition for `var' | ||
+ | date | ||
+ | cat: echo: No such file or directory | ||
+ | user1@plum:~$ ls -l | ||
+ | total 0 | ||
+ | user1@plum:~$ | ||
+ | </code> | ||
+ | |||
+ | 脆弱性修正 OK | ||