Bash security hole
;; ================================================= ;; εμαcs is ⎋[esc]⌘[meta]⌥[alt]⌃[ctrl]⇧[shift]. ;; =================================================
이 문서는 emacs org-mode로 작성된 글입니다.
Operating System Environments
- Main- : OS X Mavericks (10.9.5)
- Sub- : Debian GNU/Linux Wheezy (7.6)
- Server: Debian GNU/Linux Wheezy || Squeeze || Lenny
- Mobile: iOS 7.1.2
지난번엔 치명적인 OpenSSL의 Heartbleed 버그가 발견되더니, 이번에는 Bash에 치명적인 버그가 있다고 보고되었다.
확인 방법
아직까지 패치하지 않은 분들은 아래의 명령어를 Bash(OS X에서는 Terminal.app/Kubuntu에서는 Terminal 혹은 Konsole)에서 아래의 명령어를 실행해보자.1
$ env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"
패치가 되었다면
- OS X 에서는 아래와 같이 출력될 것이고,
test
- Debian GNU/Linux나 Kubuntu 에서는 다음을 출력할 것이다.
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `BASH_FUNC_x' test
패치가 되지 않았다면 OS X, Debian GNU/Linux나 Kubuntu 모두에서 아래와 같은 출력을 Bash에서 보게 될 것이다.
vulnerable
bash: BASH_FUNC_x(): line 0: syntax error near unexpected token `)'
bash: BASH_FUNC_x(): line 0: `BASH_FUNC_x() () { :;}; echo vulnerable'
bash: error importing function definition for `BASH_FUNC_x'
test
해결 방법
현재() OS X와 Debian GNU/Linux, Kubuntu에서는 패치가 배포중이다.
- OS X : Apple support에서 자신의 OS에 맞는 것으로 다운받아 설치하면 된다. OS X Mavericks(10.9), Mountain Lion(10.8), Lion(10.7) 용이 배포 중이다.
- Debian GNU/Linux나 Kubuntu : update/upgrade를 실행하는 것만으로 해결할 수 있다. 당장 하기를 권한다.
$ sudo apt-get update $ sudo apt-get upgrade
No comments:
Post a Comment