読者です 読者をやめる 読者になる 読者になる

ytooyamaのブログ

サーバ構築とか、仕事で発見したこととか、趣味のこととかを書いています。

Bash ShellShock関連、bash-4.2.53-1.fc20 (FEDORA-2014-12325)のパッチアップデート

Fedoraに新しいbashのパッケージが出ているようです。
「Florian's patches」でピンとくるものがあって調べたら、bash脆弱性の修正でエンバグしてしまう問題を修正し、上手く動くようにしたパッチらしいです(→参考情報1参考情報2)。

このパッチはセキュリティフラグが立っていないので、普段「yum --security update」でアップデートパッチをまわしている場合は自動アップデートされないので注意が必要です。とりあえず、「yum update bash」を実行ですね。

===================================================
bash-4.2.53-1.fc20
===================================================
Update ID : FEDORA-2014-12325
Release : Fedora 20
Type : bugfix
Status : stable
Issued : 2014-10-08 17:47:23
Description : Apart from applying the new patchlevels through 53, I've
: also re-applied Florian's patches instead of
: plevel 50 and 51. These differ in the minor () /
: %% thing that already caused some confusion and
: open bugzillas and which would cause a regression
: in future RHELs and even among bash builds in
: respective Fedora releases.

【追記1】
詳細はこちらに書かれているが、パッチをあてたあとに次のコマンドを実行して、"not vulnerable"と出れば"現時点では"よいらしい。少なくとも今見つかっている問題は解消される。

パッチをあてたにも関わらず、もしくはあてたか不明だがコマンドを実行して"vulnerable"と出る場合は対処が必要になるらしい。

# _x='() { echo vulnerable; }' bash -c '_x 2>/dev/null || echo not vulnerable'
not vulnerable

【追記2】
パッチ適用により、こちらで述べられているコマンドが通らなくなりましたね。

  • パッチ適用前

# bash -c "f(){ x(){ _;}; x(){ _;}<

  • パッチ適用後

# bash -c "f(){ x(){ _;}; x(){ _;}<