Appleが配布した「OS X bash Update 1.0」はShellshockのCVE-2014-7186脆弱性には未対応。

スポンサーリンク

 Appleが配布した「OS X bash Update 1.0」は不完全のようです。詳細は以下から。

 Appleが今朝配布した「OS X bash Update 1.0 for OS X 10.7, 10.8, 10.9」はbashのShellshock脆弱性を修正するものですが、このアップデートではShellshock脆弱性で追加報告された脆弱性を修正できないようです。


Termilan-Shellshock-Hero


 ZDNetによると

Testing by ZDNet showed that while the patch fixed the issues outlined in the original CVE-2014-6271 report and CVE-2014-7169, OS X remains vulnerable to CVE-2014-7186.

[Apple issues incomplete OS X patch for Shellshock – ZDNet]

として、Shellshock「CVE-2014-7186」のメモリリードエラー脆弱性を修正できていないとしています。

チェックしてみた

 チェック方法は「OS X bash Update 1.0」を当てたOS X Mavericks(10.9.5)でShellshcokチェックツールbashcheck (GitHub)を実行、結果は以下の通り。(*bashcheckはCVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278をチェックし結果を出力してくれるスクリプトです)


shellshock-bashcheck-script

 現在Shellshock脆弱性には判明しているだけで以下の6つのCVE番号が割り当てられており、この内Appleが「OS X bash Update 1.0」で修正したのは5つ

概要 OS X bash Update 1.0
CVE-2014-6271 任意のコマンドが実行される 修正済
CVE-2014-7169 任意のコマンドが実行される 修正済
CVE-2014-7186 メモリリードエラー(破損)脆弱性 未対応
CVE-2014-7187 ループ内でのOff-by-oneエラー 修正済
CVE-2014-6277
CVE-2014-6278
パーサーエラー 修正済

で、CVE-2014-7186には未対応のようです。

 また、MacRumors ForumやTwitterによると「CVE-2014-7187も修正されていない」という情報もあるようです。

関連リンク:
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみたb.hatena – piyolog

Mac OS Xのbashに1行でShellShock(CVE-2014-6271 & CVE-2014-7169)脆弱性のパッチを当てる方法


コメント

  1. Apple7743 より:

    ブライトが「Apple、弾幕薄いよ、なにやってんの!」と叫ぶレベル。
    OS X Bash Update 2.0とか出す気か?

  2. Apple7743 より:

    Appleネガキャンが続いてますね。
    どこ資本なんでしょうか?

  3. Apple7743 より:

    Debianでは既にPatchedなのに何で適用しなかったのかな?
    ttps://security-tracker.debian.org/tracker/CVE-2014-7186
    >>2
    ネガキャンというか、Shellshockの問題についてはLinux/Unix全体の問題だし…。
    オープンソースのbashに資本や関係ないと思うが。

  4. Apple7743 より:

    危険度の高い修正が終わったからとりあえず公開ってとこだろうね。
    全て修正終わってからソフトウェアアップデートで配布するんじゃないかな。
    まあ、普通にOSX使ってるなら問題ないし、外部からアクセスできるような使い方してるなら、brewでアップデートするなり、シェル変えりゃいいから、OSXに限っては多少パッチ遅くても大した問題じゃないとは思うわ。

  5. Apple7743 より:

    問題はこのアップデートがソフトウェアアップデートじゃなくてpkg配布なことだと思うんだが…
    OS X 10.9.6で一緒に修正されるのかな?

  6. Apple7743 より:

    まだ1.0だろ、慌てんな

  7. Apple7743 より:

    OS X bash Update 1.0適用した手元の環境で実行してみたら
    $ sh ./bashcheck
    -e Not vulnerable to CVE-2014-6271 (original shellshock)
    -e Not vulnerable to CVE-2014-7169 (taviso bug)
    ./bashcheck: line 18: 2676 Segmentation fault: 11 bash -c “true $(printf ‘< /dev/null
    -e Vulnerable to CVE-2014-7186 (redir_stack bug)
    -e Vulnerable to CVE-2014-7187 (nested loops off by one)
    -e Variable function parser inactive, likely safe from unknown parser bugs
    って出てたから、CVE-2014-7186とCVE-2014-7187はまだっぽいですな。

  8. Apple7743 より:

    つうかbashの問題をMacが悪いかのようにタイトル各メディアが多すぎ
    アップルの公式見解を引用して、さもアップルがやらかしたかのような記事書きながら、
    *NIX全体としての問題は記事にすらしてないようなメディアも相当ある
    で、グーグルを初めとするポータルサイトは、枠内で検索すると関連記事のトップにそれが来るように必ずしてる
    いいかげん皆気付いてるんだがな