Bash にセキュリティホールが見つかったそうです (CVE-2014-6271, CVE-2014-7169)。
- 米RedHat、Bashへのコードインジェクション攻撃についてブログで解説:CodeZine
- ニュース - 「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も:ITpro
- 「Bash」のバグを利用する攻撃、早くも見つかる - ZDNet Japan
- UNIXとLinuxの「Bash」シェルに重大なセキュリティホール - ZDNet Japan
CentOS 7 でパッケージをアップデートしようとしたところ、bash があります。
# yum update 読み込んだプラグイン:fastestmirror, langpacks, priorities Dropbox | 951 B 00:00 adobe-linux-x86_64 | 951 B 00:00 base | 3.6 kB 00:00 centosplus | 3.4 kB 00:00 epel/x86_64/metalink | 5.3 kB 00:00 epel | 4.4 kB 00:00 extras | 3.4 kB 00:00 google-chrome | 951 B 00:00 rpmforge | 1.9 kB 00:00 rpmfusion-free-updates | 2.7 kB 00:00 rpmfusion-nonfree-updates | 2.2 kB 00:00 updates | 3.4 kB 00:00 (1/3): centosplus/7/x86_64/primary_db | 2.1 MB 00:02 ... 省略 ... 依存性の解決をしています --> トランザクションの確認を実行しています。 ---> パッケージ bash.x86_64 0:4.2.45-5.el7 を 更新 ---> パッケージ bash.x86_64 0:4.2.45-5.el7_0.4 を アップデート ---> パッケージ crash.x86_64 0:7.0.2-6.el7 を 更新 ---> パッケージ crash.x86_64 0:7.0.2-7.el7_0.1 を アップデート ... 省略 ... --> 依存性解決を終了しました。 依存性を解決しました ================================================================================ Package アーキテクチャー バージョン リポジトリー 容量 ================================================================================ 更新します: bash x86_64 4.2.45-5.el7_0.4 updates 1.0 M crash x86_64 7.0.2-7.el7_0.1 updates 2.5 M ... 省略 ... トランザクションの要約 ================================================================================ 更新 15 パッケージ 総ダウンロード容量: 21 M Is this ok [y/d/N]: y
とりあえず、アップデートして変更履歴を見てみることに。
$ rpm -q --changelog bash * 木 9月 25 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.45-5.4 - CVE-2014-7169 Resolves: #1146324 * 木 9月 25 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.45-5.3 - amend patch to match upstream's Related: #1146324 * 月 9月 15 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.45-5.2 - Fix-up the patch Related: #1141647 * 月 9月 15 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.45-5.1 - Check for fishy environment Resolves: #1141647 ... 省略 ...
CVE-2014-7169 を解決するパッチをあてたようですが、これで十分なのかな?
0 件のコメント:
コメントを投稿