OS X 10.6 Snow Leopard以前は「bashの脆弱性」が残ったまま、のようだ。

一昨日紹介したbash脆弱性のOS X用アップデートはOS X Lion以降のものでした。では、Snow Leopard以前は脆弱性が残ったままなのかというと・・・どうもそのようなのです。

なお、『bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog』にて大変詳細な解説を拝見することができます。

論理的思考と決別した(するなよ)トビの理解では、「bash起動時に読み込まれる色々な変数のうち、その変数にコードが入っていると、それが正しいものかチェックする際にコードが実行されてしまう特定の条件が存在する」と読みました。間違っているかもしれません。

また、コメントでも情報をいただき、もろず blogさんのところでも掲載されている脆弱性判定のコマンドを試してみました。

まず、OS X bash Update 1.0適用後のOS X Mavericks。

画像


this is a test」と表示されれば脆弱性が修正されている模様↑

次に、アップデートの提供されないMac OS X 10.4 Tiger。

画像


vulnerable
 this is a test
」と表示され、脆弱性が存在するようです↑

*****

となると、やはりSnow Leopard以前のMac OS Xにはbashの脆弱性が残り続けるということですよねぇ、うーむ。

いまひとつ、個人的に理解できていないのが、一般ユーザにとっての脅威です。UNIXやLinux系サーバの危険性が強調される反面、コンシューマ端末だとどの程度危険な状態となるのかイマイチわからないのですよ。全く安全・・・なわけはないでしょうけれど、アップデートできないマシンはただちに使用をやめるべきレベルなのかどうか? うーん、ムズカシイ。


入門bash 第3版
オライリージャパン
Cameron Newham

amazon.co.jpで買う
Amazonアソシエイト by 入門bash 第3版 の詳しい情報を見る / ウェブリブログ商品ポータル


関連記事 関連記事:

bashの脆弱性を修正する「OS X bash Update 1.0」配布。ただし・・・。 パワーリンゴ/ウェブリブログ(2014/09/30)

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

ねもねも
2014年10月02日 15:37
bash update 1.0にはCVE-2014-7169のパッチがまだ当たっていないとの記事もある様です。
もっともOSXの標準状態では問題無い(リモートシェルの起動が出来ない?)らしいですが
トビ
2014年10月02日 19:37
ねもねもさんこんにちは。

おっと、ひとまず最終のパッチがAppleのアップデートに含まれていると思っていたのですが、そうでもなさそうなのですか。

私もその「OSXの標準状態」という記述を見かけましたが、なにをもって標準なのかよくわからなくて困っています、ナハハハ。

この記事へのトラックバック