SyntaxHighlighter

2014/10/15

MacOSX shellshock 対策

bashの脆弱性shellshockによる反響は激しく自分でも対策したつもりでしたが、自宅のMacOSXが未対策でした。

Firefox OSのビルド環境を整えようかと思っていたところオンライン上のシェルスクリプトをcurlでダウンロードしてbashに流し込み、home brewで整えていくというステップが
curl -fsSL https://raw.github.com/mozilla-b2g/B2G/master/scripts/bootstrap-mac.sh | bash
便利なので思わず実行してしまいましたが、ふとここで、shellshock踏んでいたらと脳裏によぎりました。

慌てて確認スクリプトを実行すると、、、
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
ふつーに修正されていません!

で、どうやら調べてみるとMacOSXは自分でダウンロードして適用する必要があるようです。アップデートパッケージはこちらからダウンロードできます

適用した結果は下記になります。
[適用前]
bash --version
GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

[適用後]
$ bash --version
GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

これは自動アップデートでパッチ適用しても良いレベルだと思うのですが。。。「デフォルトのOS Xは安全」ベンダーとして意識低すぎやしませんか?

0 件のコメント: