bashに関する脆弱性対応について(CVE-2014-6271)

2014年9月25日

bashの脆弱性が確認されたということで、情報を集めました。

CVE番号
CVE-2014-6271

CentOSの修正パッケージ
CentOS 5：bash-3.2-33.el5.1
CentOS 6：bash-4.1.2-15.el6_5.1,bash-doc-4.1.2-15.el6_5.1
CentOS 7：bash-4.2.45-5.el7_0.2,bash-doc-4.2.45-5.el7_0.2

http://lists.centos.org/pipermail/centos/2014-September/146099.html

RHELはもちろんのこと、AWSでも修正版がリリースされています。

脆弱性を検証するコマンド

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

脆弱である場合は、vulnerableと表示されます。

vulnerable
this is a test

対策済みの場合には、エラーとなります

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test