Appleが配布した「OS X bash Update 1.0」はShellshockのCVE-2014-7186脆弱性には未対応。

記事内に広告が含まれています。
スポンサーリンク

 Appleが配布した「OS X bash Update 1.0」は不完全のようです。詳細は以下から。

 Appleが今朝配布した「OS X bash Update 1.0 for OS X 10.7, 10.8, 10.9」はbashのShellshock脆弱性を修正するものですが、このアップデートではShellshock脆弱性で追加報告された脆弱性を修正できないようです。


Termilan-Shellshock-Hero


 ZDNetによると

Testing by ZDNet showed that while the patch fixed the issues outlined in the original CVE-2014-6271 report and CVE-2014-7169, OS X remains vulnerable to CVE-2014-7186.

[Apple issues incomplete OS X patch for Shellshock – ZDNet]

として、Shellshock「CVE-2014-7186」のメモリリードエラー脆弱性を修正できていないとしています。

チェックしてみた

 チェック方法は「OS X bash Update 1.0」を当てたOS X Mavericks(10.9.5)でShellshcokチェックツールbashcheck (GitHub)を実行、結果は以下の通り。(*bashcheckはCVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278をチェックし結果を出力してくれるスクリプトです)


shellshock-bashcheck-script

 現在Shellshock脆弱性には判明しているだけで以下の6つのCVE番号が割り当てられており、この内Appleが「OS X bash Update 1.0」で修正したのは5つ




 
 概要 
 OS X bash Update 1.0




CVE-2014-6271
任意のコマンドが実行される
修正済




CVE-2014-7169
 任意のコマンドが実行される
 修正済 




CVE-2014-7186
 メモリリードエラー(破損)脆弱性
未対応




CVE-2014-7187
 ループ内でのOff-by-oneエラー
 修正済 




CVE-2014-6277
CVE-2014-6278		
 パーサーエラー 
 修正済

で、CVE-2014-7186には未対応のようです。

 また、MacRumors ForumやTwitterによると「CVE-2014-7187も修正されていない」という情報もあるようです。

関連リンク:
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみたb.hatena – piyolog

Mac OS Xのbashに1行でShellShock(CVE-2014-6271 & CVE-2014-7169)脆弱性のパッチを当てる方法

Mac Fan (マックファン) 2014年 11月号 [雑誌]
Mac Fan (マックファン) 2014年 11月号 [雑誌] [雑誌]
マイナビ
2014-09-29


コメント

  1. Apple7743 より:
    2014年9月30日 3:14 PM

    ブライトが「Apple、弾幕薄いよ、なにやってんの!」と叫ぶレベル。
    OS X Bash Update 2.0とか出す気か?

    返信
  2. Apple7743 より:
    2014年9月30日 3:29 PM

    Appleネガキャンが続いてますね。
    どこ資本なんでしょうか?

    返信
  3. Apple7743 より:
    2014年9月30日 3:40 PM

    Debianでは既にPatchedなのに何で適用しなかったのかな?
    ttps://security-tracker.debian.org/tracker/CVE-2014-7186
    >>2
    ネガキャンというか、Shellshockの問題についてはLinux/Unix全体の問題だし…。
    オープンソースのbashに資本や関係ないと思うが。

    返信
  4. Apple7743 より:
    2014年9月30日 3:57 PM

    危険度の高い修正が終わったからとりあえず公開ってとこだろうね。
    全て修正終わってからソフトウェアアップデートで配布するんじゃないかな。
    まあ、普通にOSX使ってるなら問題ないし、外部からアクセスできるような使い方してるなら、brewでアップデートするなり、シェル変えりゃいいから、OSXに限っては多少パッチ遅くても大した問題じゃないとは思うわ。

    返信
  5. Apple7743 より:
    2014年9月30日 4:06 PM

    問題はこのアップデートがソフトウェアアップデートじゃなくてpkg配布なことだと思うんだが…
    OS X 10.9.6で一緒に修正されるのかな?

    返信
  6. Apple7743 より:
    2014年9月30日 4:12 PM

    まだ1.0だろ、慌てんな

    返信
  7. Apple7743 より:
    2014年9月30日 4:55 PM

    OS X bash Update 1.0適用した手元の環境で実行してみたら
    $ sh ./bashcheck
    -e Not vulnerable to CVE-2014-6271 (original shellshock)
    -e Not vulnerable to CVE-2014-7169 (taviso bug)
    ./bashcheck: line 18: 2676 Segmentation fault: 11 bash -c “true $(printf ‘< /dev/null
    -e Vulnerable to CVE-2014-7186 (redir_stack bug)
    -e Vulnerable to CVE-2014-7187 (nested loops off by one)
    -e Variable function parser inactive, likely safe from unknown parser bugs
    って出てたから、CVE-2014-7186とCVE-2014-7187はまだっぽいですな。

    返信
  8. Apple7743 より:
    2014年9月30日 8:54 PM

    つうかbashの問題をMacが悪いかのようにタイトル各メディアが多すぎ
    アップルの公式見解を引用して、さもアップルがやらかしたかのような記事書きながら、
    *NIX全体としての問題は記事にすらしてないようなメディアも相当ある
    で、グーグルを初めとするポータルサイトは、枠内で検索すると関連記事のトップにそれが来るように必ずしてる
    いいかげん皆気付いてるんだがな

    返信
タイトルとURLをコピーしました