bash の脆弱性とセキュリティ対策

PUPPYアプリケーションパッケージ、PETやSFSなどのトラブル

モデレータ: 暇人, YoN, nyu

返信する
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

bash の脆弱性とセキュリティ対策

投稿記事 by ふうせん Fu-sen. »

2014年4月に OpenSSL の大きな脆弱性が公開されましたが、
それにも負けない大きなものが公開されてしまいました。ターゲットは bash です。
識別コードは CVE-2014-7169 および CVE-2014-6271 です。
https://www.ipa.go.jp/security/ciadr/vu ... -bash.html
https://www.jpcert.or.jp/at/2014/at140037.html

対象
これまで公開されている Puppy Linux 全バージョン。(派生 および DebianDog を含む)

調べ方
ターミナルを起動し、下記のコードを実行します。

コード: 全て選択

env x='() { :;}; echo dame' bash -c "echo test"
下記のように dame が出力されている場合は bash の対策ができていません。

コード: 全て選択

dame
test
何か違うコードが出てくる事も含めて、dame が出てこなければ「対策済み」です。

対策
bash のアップデートを行う事で対処できます。
・パッケージの最新版を適用する
  Precise・Lucid (Ubuntu) viewtopic.php?p=20477#p20477
  Slacko (Slackware) / wheezy・DebianDog (Debian) viewtopic.php?p=20479#p20479
・本家フォーラム公開の .pet を適用する viewtopic.php?p=20478#p20478

関連情報
本家フォーラム(英語)
・BASH exposure expressed as bigger than Heartbleed. - 特に情報が多いトピック
  http://murga-linux.com/puppy/viewtopic.php?t=95819
・Security - いくつか bash 関連のトピックが立ち上がってます
  http://murga-linux.com/puppy/index.php?f=47
最後に編集したユーザー ふうせん Fu-sen. [ 14/09/29(月) 14:32 ], 累計 11 回
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: bash の脆弱性とセキュリティ対策

投稿記事 by ふうせん Fu-sen. »

(何か追記情報があった場合用に一つ空白の投稿を設けます)
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: bash の脆弱性とセキュリティ対策

投稿記事 by ふうせん Fu-sen. »

Precise-571JP・550JP および lupu-528JP は Ubuntu パッケージの bash を適用できます。
( Lucid もサーバ向けに Ubuntu パッケージが更新されているため、bash が更新されています)

直接 Ubuntu の公式サイトからダウンロードし、インストールできます。

Precise-571JP・550JP
http://packages.ubuntu.com/precise/i386/bash/download
lupu-528JP
http://packages.ubuntu.com/lucid/i386/bash/download

こちらから対策済みの bash をダウンロードできます。
(記載時で Precise は bash_4.2-2ubuntu2.5_i386.deb)
この .deb ファイルを実行して下さい。bash がインストールされます。
このトピックの先頭にある「調べ方」を実行し、対策が行われている事を確認して下さい。

Puppy パッケージマネージャー からインストールする場合は
起動後、パッケージマネージャーの設定ただちに更新 を選択し、
最新情報を反映して下さい。
  http://puppylinux-food.zohosites.com/%E ... 96%B9.html
  → Ubuntu レボジトリからのインストール の項目手順
その後 bash の検索し、インストールを行います。あわせて openssl・libssl の更新もお忘れなく。
なお、適用したパッケージのバージョンアップを行う場合は、
一度該当パッケージをアンインストールしてから、最新版をインストールしなおして下さい。

Precise・Lucid の派生もこの方法で対応可能です。
最後に編集したユーザー ふうせん Fu-sen. [ 14/09/30(火) 22:26 ], 累計 5 回
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: bash の脆弱性とセキュリティ対策

投稿記事 by ふうせん Fu-sen. »

本家フォーラムで対策版の bash が .pet パッケージで公開されています。
数名公開されているようですが、
そのうち dejan555 さんが公開されている .pet パッケージをリンクしておきます。

http://murga-linux.com/puppy/viewtopic. ... 926#800926

ファイル名で Dpup 向けに公開されている事が分かりますが、
Precise・Slacko・Lucid(lupu)、Upup、Wary・Racy、Puppy 4 でも
動作確認が得られているとの事です。

なお、バッチ公開当初、Frisbee で誤動作が生じるバグが発生していましたが、
現在の最新では改善されています。
最後に編集したユーザー ふうせん Fu-sen. [ 14/10/13(月) 14:52 ], 累計 2 回
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: bash の脆弱性とセキュリティ対策

投稿記事 by ふうせん Fu-sen. »

日本語版は存在しませんが、Slacko を使用している場合、
パッケージは Slackware 14.0 ですので、こちらの bash を適用できます。

ftp://ftp.slackware.com/pub/slackware/s ... /packages/

bash〜.txz がパッケージファイルです。
また、Slacko では Precise 同様に Puppy パッケージマネージャ からのインストールも可能です。

また公式版の Puppy はありませんが、
Debian パッケージを採用する wheezy は、こちらからダウンロード可能です。

https://packages.debian.org/ja/wheezy/i ... h/download

なお DebianDog は apt-get で更新をすれば bash を最新版に更新します。

コード: 全て選択

apt-get update
apt-get upgrade
最後に編集したユーザー ふうせん Fu-sen. [ 14/09/30(火) 09:25 ], 累計 2 回
ふうせん Fu-sen. ( old: 2 8 6 )
486HA
記事: 1142
登録日時: 11/03/06(日) 14:31

Re: bash の脆弱性とセキュリティ対策

投稿記事 by 486HA »

この問題について、既に2019-09-25付のEndeavor_wakoさんの投稿があります。
viewtopic.php?p=20457
対応策として、http://ftp.univ-nantes.fr/ubuntu/pool/m ... h/?order=s から
bash_4.3-9ubuntu4_i386.debをダウンロードして適用すればよろしいかと。
http://ftp.univ-nantes.fr/ubuntu/pool/m ... 4_i386.deb
CORE-i7-6700HQ uEFI ram:8GB
Full: Quirky Beaver64-8.7.1(64)
save2dir: Artfulpup-17.11,Dpup-7.5,Xenialpup 7.0.8.1(32)
Slimjet 21.0.8.0(32/64)
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: bash の脆弱性とセキュリティ対策

投稿記事 by ふうせん Fu-sen. »

Ubuntu パッケージの bash が更新されました。更なるセキュリティ対応です。
Precise 4.2-2ubuntu2.6 / Lucid(lupu) 4.1-2ubuntu3.5

Precise-571JP・550JP および lupu-528JP はこちらの手順で最新パッケージを導入できます。
一度アンインストールしてからインストールを行って下さい。
viewtopic.php?p=20477#p20477


Slackware パッケージも更新されています。
Slacko 対応の 14.0 は bash-4.2.050-i486-1_slack14.0.txz です。
同様に一度アンインストールしてからインストールを行って下さい。
viewtopic.php?p=20479#p20479
ふうせん Fu-sen. ( old: 2 8 6 )
返信する