ShellShock(bashの脆弱性)

  • 投稿日:
  • by
  • カテゴリ:

 先週Linuxなどで使用されているbashというシェルプログラムに脆弱性があることが報道されました。 NHKでも報道されましたが何のことやらという方も多そうです。

GNU bash の脆弱性に関する注意喚起(JPCERT-AT-2014-0037)
https://www.jpcert.or.jp/at/2014/at140037.html

 弊社サーバー(daytradenet.com、breakscan.com)は運用委託先により早急に修正済みバージョンが適用されました。

 アクセスログには、25日には脆弱性を調査するサイトからのアクセス、27日には脆弱性を調べるアクセス、29日にはbotを組み込もうとするアクセスが記録されており、未対策サイトは危険な状況となっています。

 脆弱性が実際に悪用されるにはいくつかの条件が揃う必要がありますが、サーバー管理者が不在の場合にはすでに悪用されている可能性があります。これは春にOpenSSLの脆弱性で騒いだ時よりも深刻な事態になるかもしれません。

 個人のPCへの影響は、こうしたサイトが悪意のある改竄を受け、ウェブサイトを閲覧しただけで感染する「ドライブバイ・ダウンロード」等の脆弱性を突かれる可能性があります。

 こうした悪意のある攻撃に対して取れる対策は、使用しているソフトウェアを最新にアップデートすることです。使用しているウェブブラウザ(IE/Firefox/Chrome等)、Adobe Flash Player、Adobe Reader、Javaなど使用していると意識していなくとも幾つかのソフトウェアを使用しています。

 これらのアップデートは正しいサイトから実行します(ソフトウェアが自動アップデートする場合もあります)。適当に検索してなどとずぼらするとマルウェア付だったりするので注意が必要です。

 私は大丈夫・・・よく見たらボロボロという可能性もあるので、くれぐれもお気を付けください。