|
ReadyNAS RN10200 も Shellshock脆弱性(bashバグ)を修正したよ
なかなか修正ファームウェアがリリースされないので
実家で稼働中のNETGEAR ReadyNAS RN10200にもShellshock脆弱性がある事は分かっていたのですが、以前のHeartbleed(心臓出血)脆弱性への対応が素早かったので、今回のShellshock脆弱性もそのうち修正ファームウェアが出るだろうと思っていたのですが・・・何故か今回はなかなか修正ファームウェアがリリースされません。
現在ReadyNAS RN10200をWebサーバとしては使っていないので急ぐ必要もないのですが、大きなセキュリティホールが空いたままというのは何となく気分が悪いものです。そこで、自分でbashを入れ替えてみることにしました。入れ替えると言っても apt-getで bashをインストールしただけですが(^^;)。
先ず、入れ替え前の状態です。
# bash --version
GNU bash, version 4.2.37(1)-release (arm-unknown-linux-gnueabi)
Copyright (C) 2011 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
# env X='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
hello
#
|
bashのバージョンは 4.2.37。しっかりとShellshock脆弱性がありますね。bash 4.2系にはパッチ53まで出ています。おそらくパッチ48以降がShellshock修正版だと思います。
と言うことで、apt-getでbashを更新してみました。
# apt-get update
Hit http://apt.readynas.com 6.1.9 Release.gpg
Get:1 http://apt.readynas.com 6.1.9 Release [19.4 kB]
Hit http://mirrors.kernel.org wheezy Release.gpg
Hit http://mirrors.kernel.org wheezy Release
Get:2 http://security.debian.org wheezy/updates Release.gpg [836 B]
Get:3 http://security.debian.org wheezy/updates Release [102 kB]
Hit http://mirrors.kernel.org wheezy/main armel Packages
Get:4 http://apt.readynas.com 6.1.9/updates armel Packages [3,974 B]
Hit http://apt.readynas.com 6.1.9/apps armel Packages
Hit http://apt.readynas.com 6.1.9/main armel Packages
Get:5 http://security.debian.org wheezy/updates/main armel Packages [211 kB]
Fetched 337 kB in 3s (106 kB/s)
Reading package lists... Done
# apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
Suggested packages:
bash-doc
Recommended packages:
bash-completion
The following packages will be upgraded:
bash
〜略〜
# bash --version
GNU bash, version 4.2.37(1)-release (arm-unknown-linux-gnueabi)
Copyright (C) 2011 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
# env X='() { :;}; echo vulnerable' bash -c 'echo hello'
hello
#
|
bashのバージョン表示�は変わっていないのですが、Shellshock脆弱性は修正されました。パッチ53まで全部当てたのではなく、Shellshock脆弱性の修正だけを適用したんかな?何となく釈然としないけど、まぁいっかぁ。
|
