ページ 11

今日の出来事

Posted: 14/09/25(木) 18:38
by Endeavor_wako
騒ぎになったのが今日(2014年9月25日)というだけで、問題はそれ以前からあった訳ですが。
bash の脆弱性

脆弱性検証コード
簡易チェック

以下のコマンドを実行して「vulnerable」が表示された場合、CVE-2014-6271の影響を受ける可能性がある。

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

コマンドが実行できた場合に表示される内容

vulnerable

this is a test

パッチ適用後に表示される内容

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for `x'

this is a test
原則 root な PuppyLinuxには余り関係なさそうですが。僕(Puppyは571JP)はとりあえず、Ubuntu Lucid からbash_4.1-2ubuntu3.1_i386.debをもらってきて /bin/bash のみ置換しました。<s>今のところ副作用とかはないみたいです。</s>

追記 2014/10/13
もらってきた bash(GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu) )で frisbee での動作不良を確認しました。sns は動作しました。

追記その2 2014/10/13
本家スレにも言及があるようですが、bashのシェル関数の命名規則の変更が原因のようです。- が使えなくなっているようです。
とりあえず、/usr/local/frisbee/func 内の関数名を _ に変更したら動作するようになりました。既出でしたらスルーよろしく。
私製petをアップしますがテストする場合はRAMモードを使うか、事前にバックアップをとる等してください。

追記その3 2014/10/13
bash のパッチが進んで上記の対策は不要のようです。先ほどubuntu lucid update からもらってきたbash(10/08/2014, md5sum 346788b2b287146fcff31bf888fad103)の実行結果は以下のとおりです。
# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
#


Re: 今日の出来事

Posted: 14/09/25(木) 20:22
by 486HA
これですか?
http://murga-linux.com/puppy/viewtopic.php?t=95819
Endeavor_wako さんが書きました: 原則 root な PuppyLinuxには余り関係なさそうですが。僕(Puppyは571JP)はとりあえず、Ubuntu Lucid からbash_4.1-2ubuntu3.1_i386.debをもらってきて /bin/bash のみ置換しました。今のところ副作用とかはないみたいです。
こちらの方がモアベターかな。
bash_4.3-7ubuntu1_i386.deb 666philibさんの情報
http://launchpadlibrarian.net/173611412 ... 1_i386.deb
更に新しい、bash_4.3-9ubuntu4_i386.debもあります。
http://ftp.univ-nantes.fr/ubuntu/pool/m ... 4_i386.deb

Re: 今日の出来事

Posted: 14/09/29(月) 12:45
by Endeavor_wako
Ubuntu Lucid 由来のbashに差し替えたのは、単に571JPのbash に近いバージョンを使いたかったからです。
なお本件に関しては1ユーザーの立場から投稿しております(故に投稿場所もオフトピでスレタイも適当)。決して推奨するものではありませんし、適用結果についての責任も負いかねます。予めご了承願います。
bash-lucid-capture20457.png
Ubuntu Lucid


bash-puppy571JP-capture18014.png
PuppyLinux 571JP

Re: 今日の出来事

Posted: 14/09/29(月) 16:04
by ふうせん Fu-sen.
この bash の話題、改めてこちらで総括しています。
自分がこの辺をまだ出していなかったのは、たまたま他の事が〜というのもありますが :x
Ubuntu パッケージの公開・反映を待っていたのが大きいです。

bash の脆弱性とセキュリティ対策
viewtopic.php?t=2740

特に Precise は Ubuntu パッケージが無難だと思いますが、
.pet パッケージ適用でも良いでしょう。
動きが違うようなので、それが気になっているのですが……