2014-09-26

米RedHat、Bashへのコードインジェクション攻撃についてブログで解説:CodeZine

Bash にセキュリティホールが見つかったそうです (CVE-2014-6271, CVE-2014-7169)。

CentOS 7 でパッケージをアップデートしようとしたところ、bash があります。

# yum update
読み込んだプラグイン:fastestmirror, langpacks, priorities
Dropbox                                                  |  951 B     00:00     
adobe-linux-x86_64                                       |  951 B     00:00     
base                                                     | 3.6 kB     00:00     
centosplus                                               | 3.4 kB     00:00     
epel/x86_64/metalink                                     | 5.3 kB     00:00     
epel                                                     | 4.4 kB     00:00     
extras                                                   | 3.4 kB     00:00     
google-chrome                                            |  951 B     00:00     
rpmforge                                                 | 1.9 kB     00:00     
rpmfusion-free-updates                                   | 2.7 kB     00:00     
rpmfusion-nonfree-updates                                | 2.2 kB     00:00     
updates                                                  | 3.4 kB     00:00     
(1/3): centosplus/7/x86_64/primary_db                      | 2.1 MB   00:02     
...
省略
...
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ bash.x86_64 0:4.2.45-5.el7 を 更新
---> パッケージ bash.x86_64 0:4.2.45-5.el7_0.4 を アップデート
---> パッケージ crash.x86_64 0:7.0.2-6.el7 を 更新
---> パッケージ crash.x86_64 0:7.0.2-7.el7_0.1 を アップデート
...
省略
...
--> 依存性解決を終了しました。

依存性を解決しました

================================================================================
 Package                 アーキテクチャー
                                バージョン                     リポジトリー
                                                                           容量
================================================================================
更新します:
 bash                    x86_64 4.2.45-5.el7_0.4               updates    1.0 M
 crash                   x86_64 7.0.2-7.el7_0.1                updates    2.5 M
...
省略
...

トランザクションの要約
================================================================================
更新  15 パッケージ

総ダウンロード容量: 21 M
Is this ok [y/d/N]: y

とりあえず、アップデートして変更履歴を見てみることに。

$ rpm -q --changelog bash
* 木  9月 25 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.45-5.4
- CVE-2014-7169
  Resolves: #1146324

* 木  9月 25 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.45-5.3
- amend patch to match upstream's
  Related: #1146324

* 月  9月 15 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.45-5.2
- Fix-up the patch
  Related: #1141647

* 月  9月 15 2014 Ondrej Oprala <ooprala@redhat.com> - 4.2.45-5.1
- Check for fishy environment
  Resolves: #1141647
...
省略
...

CVE-2014-7169 を解決するパッチをあてたようですが、これで十分なのかな?

参考サイト

0 件のコメント: