Bash脆弱性に対してChefでbashをアップデートしてパッチ適用

朝から Bash にえぐい脆弱性があるというニュースが、タイムラインや RSS で流れてきたのでパッチを当てるアップデートの対応を行いました。CentOS では yum check-update でチェックしたところ、Bash のパッチ用アップデートが配布されていた。詳細は以下。

Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) – Red Hat Customer Portal

スポンサーリンク

エントリー末尾に追記がありますので、参考にされる場合は追記までお読みください。

使用している Bash が脆弱性を含むか確認

脆弱性のあるパッケージのバージョンが redhat のページに記載されているので、bash のバージョンを確認するなど。

また、上記 redhat のページを参考にして、脆弱性を含むバージョンの Bash を使用しているかを診断します。SSH で対象サーバーにログイン後、以下のコマンドを実行。

上記のように、vulnerable を含む出力となったら脆弱性がある Bash なので、パッチを当てる。

Bash をアップデートする Chef recipe 作成

Chef で bash をアップデートする recipe を書きました。CentOS 用で yum コマンドを使う方法です。

site-cookbooks/base_cookbook/recipes/update_packages.rb

wrapper cookbook の最後で recipe を include。

site-cookbooks/wrapper_cookbook/recipes/default.rb

プロビジョニング実行。

これで、Bash がアップデートされてパッチが適用されたはずです。

Chef を使わない場合は、普通にコマンドを打って、

で、良いかと思います。

再度 bash 脆弱性を診断

再び診断。

よしと、これでパッチが当たっているのを確認できました。最後に Serverspec でテストを走らせて確認後終了。

【追記 2014/09/25】
bash をアップデートした後、システムを再起動すべきだそうです。あるいは、再起動が難しい場合は以下コマンドを実行。

詳細は以下を参照。
Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux – Red Hat Customer Portal
2014/09/24に発表されたBash脆弱性と解決法(RedHat系) – Qiita
【追記ここまで】

【追記 2014/09/26】
2014/09/25の追記で書いたシステム再起動についてですが、今朝再び
Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux – Red Hat Customer Portal
を確認したところ、reboot および /sbin/ldconfig コマンドについての記載が削除されています。再起動または /sbin/ldconfig コマンドの実行は必要ないかもしれません。
【追記ここまで】

【追記 2014/09/26】
Bash の脆弱性もう一件 CVE-2014-7169 に関する記事を書きました。こちらもお読み下さい。
Bashの脆弱性もう一件CVE-2014-7169に対するパッチ適用 | EasyRamble
【追記ここまで】

【追記 2014/10/02】
JPCERT の GNU bash の脆弱性に関する注意喚起のページが9/30に更新されています。

なお、本件に関連して見つかった CVE-2014-7186, CVE-2014-7187 の脆弱性
については、現段階では修正されていません。パッチの適用と合わせて回避策
の適用を検討してください。

IV. 回避策

** 更新: 2014年9月30日修正 *****************************************
– GNU bash を代替のシェルに入れ替える
– WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける
– 継続的なシステム監視を行う
********************************************************************

大事そうな箇所を引用しましたが、詳細は直接ご覧下さい。
【追記ここまで】

スポンサーリンク
サーバ構築研究会の CentOS 本は、昔からお世話になっています。Linux の教科書は Linux の基本を学ぶのにおすすめです。
スポンサーリンク
 
Twitterを使っていますのでフォローお願いたします!ブログの更新情報もつぶやいてます^^
(英語学習用)

Leave Your Message!