bashの脆弱性shellshockによる反響は激しく自分でも対策したつもりでしたが、自宅のMacOSXが未対策でした。Firefox OSのビルド環境を整えようかと思っていたところオンライン上のシェルスクリプトをcurlでダウンロードしてbashに流し込み、home brewで整えていくというステップが。
| curl -fsSL https://raw.github.com/mozilla-b2g/B2G/master/scripts/bootstrap-mac.sh | bash |
慌てて確認スクリプトを実行すると、、、
| $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test |
で、どうやら調べてみるとMacOSXは自分でダウンロードして適用する必要があるようです。アップデートパッケージはこちらからダウンロードできます。
適用した結果は下記になります。
| [適用前] bash --version GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13) Copyright (C) 2007 Free Software Foundation, Inc. $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test [適用後] $ bash --version GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin13) Copyright (C) 2007 Free Software Foundation, Inc. $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test |
これは自動アップデートでパッチ適用しても良いレベルだと思うのですが。。。「デフォルトのOS Xは安全」ベンダーとして意識低すぎやしませんか?
0 件のコメント:
コメントを投稿