Fedoraに新しいbashのパッケージが出ているようです。
「Florian's patches」でピンとくるものがあって調べたら、bashの脆弱性の修正でエンバグしてしまう問題を修正し、上手く動くようにしたパッチらしいです(→参考情報1、参考情報2)。
このパッチはセキュリティフラグが立っていないので、普段「yum --security update」でアップデートパッチをまわしている場合は自動アップデートされないので注意が必要です。とりあえず、「yum update bash」を実行ですね。
===================================================
bash-4.2.53-1.fc20
===================================================
Update ID : FEDORA-2014-12325
Release : Fedora 20
Type : bugfix
Status : stable
Issued : 2014-10-08 17:47:23
Description : Apart from applying the new patchlevels through 53, I've
: also re-applied Florian's patches instead of
: plevel 50 and 51. These differ in the minor () /
: %% thing that already caused some confusion and
: open bugzillas and which would cause a regression
: in future RHELs and even among bash builds in
: respective Fedora releases.
【追記1】
詳細はこちらに書かれているが、パッチをあてたあとに次のコマンドを実行して、"not vulnerable"と出れば"現時点では"よいらしい。少なくとも今見つかっている問題は解消される。
パッチをあてたにも関わらず、もしくはあてたか不明だがコマンドを実行して"vulnerable"と出る場合は対処が必要になるらしい。
# _x='() { echo vulnerable; }' bash -c '_x 2>/dev/null || echo not vulnerable'
not vulnerable
【追記2】
パッチ適用により、こちらで述べられているコマンドが通らなくなりましたね。
- パッチ適用前
# bash -c "f(){ x(){ _;}; x(){ _;}<
- パッチ適用後
# bash -c "f(){ x(){ _;}; x(){ _;}<