Ubuntu日本語フォーラム
ログインしていません。
お知らせ
#1 2014-09-30 02:08:46
- jeno
- メンバ
- 登録日: 2013-01-30
bashのアップデートについて
最近,bashというシェルに脆弱性が見つかり,
Ubuntuでもログインシェルとしてbashを使っているとの情報を見たため,
パッチを当てようと思い,以下のサイトを参考に作業を行いました.
http://www.ubuntu.com/usn/usn-2362-1/
実行したコマンドは
sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade
です.3行目のコマンドを実行する前後で,
bash --version
を実行したのですが,両者共に
GNU bash, バージョン 4.3.11(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2013 Free Software Foundation, Inc.
ライセンス GPLv3+: GNU GPL バージョン 3 またはそれ以降 <http://gnu.org/licenses/gpl.html>
This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
と表示されました.これは既に問題ない物になっているのでしょうか?
当方の使用している環境は,Ubuntu14.04 LTSで,サーバーとして運用しております.
今回発見された脆弱性がかなり深刻な物であるように見受けられたので,
確認のため,あえてこちらで書き込ませていただきます.
ご回答お願いいたします.
オフライン
#2 2014-09-30 08:10:50
- tkfm.yamaguchi
- 新しいメンバ
- 登録日: 2014-09-30
Re: bashのアップデートについて
[4.3-7ubuntu1.4 : “bash” package : Ubuntu]
( https://launchpad.net/ubuntu/+source/bash/4.3-7ubuntu1.4 )
$ dpkg -l bash
を実行して、バージョンが "4.3-7ubuntu1.4" となれば既知の脆弱性について対応されたバージョンになっているかと思います。
[ bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog ]
( http://d.hatena.ne.jp/Kango/20140925/1411612246 )
もし不安であれば、上記リンク先ページの 「脆弱性検証コード」 を実行してみるのも有りかと思います。
オフライン
#3 2014-09-30 08:55:30
- balloon
- メンバ
- From: 宮城県
- 登録日: 2013-09-26
Re: bashのアップデートについて
Ubuntu ではフレーバーや非公式派生も含めて、週末までには bash の更新が通知されているようです。
なので、アップデートマネージャや apt-get などの更新を行っていれば、
すでに導入されている状態かと思います。
やはり素早く分かりやすいのは、ターミナルからコードの実行でしょうね。
コード:
env x='() { :;}; echo dame' bash -c "echo test"これを実行し、
コード:
dame test
上の状態になる場合はまだ適用されていませんので、今すぐアップデートを行って下さい。
コード:
test
上の状態が適用済みの状態です。
オフライン
#4 2014-09-30 10:26:55
- hito
- 管理者
- 登録日: 2007-03-18
Re: bashのアップデートについて
balloon による投稿:
やはり素早く分かりやすいのは、ターミナルからコードの実行でしょうね。
コード:
env x='() { :;}; echo dame' bash -c "echo test"これを実行し、
現状で使うべきテストコードは↓ですね(その後いくつか見つかった問題のため、関数定義そのものができない状態になっているか確認が必要)。
コード:
foo='() { echo not patched; }' bash -c fooオフライン
#5 2014-10-01 01:30:18
- jeno
- メンバ
- 登録日: 2013-01-30
Re: bashのアップデートについて
早速のお返事ありがとうございます.
env x='() { :;}; echo dame' bash -c "echo test"
こちらの命令については,testとのみ表示され,問題ありませんでしたが,
foo='() { echo not patched; }' bash -c foo
こちらのコードについては,
bash: foo: コマンドが見つかりません
と表示されるのですが,このコマンドは誤りではないのでしょうか?
オフライン
#6 2014-10-01 11:49:37
- hotohoto
- メンバ
- 登録日: 2009-07-04
Re: bashのアップデートについて
env x='() { :;}; echo dame' bash -c "echo test"
のテストしました
14.04 をupdate & upgrade していて私の場合は大丈夫でした。
コード:
me@pc-name:~$ bash --version GNU bash, バージョン 4.3.11(1)-release (i686-pc-linux-gnu) Copyright (C) 2013 Free Software Foundation, Inc. ライセンス GPLv3+: GNU GPL バージョン 3 またはそれ以降 <http://gnu.org/licenses/gpl.html>
オフライン
2007年10月11日以降の投稿は、クリエイティブ・コモンズ-表示-継承-3.0 (Cc-by-sa-3.0)で提供されます。
著作権等の他者の権利を不当に侵害するような投稿、特定の個人や団体などへの誹謗中傷を含む投稿、個人情報を含む投稿など、違法性のある投稿は行わないでください。
Ubuntu and Canonical are registered trademarks of Canonical Ltd.