「CGI経由ならほぼすべてのシステムが影響を受ける」とかいうのはマッチポンプにしてもひどいと思う。
しかもアドバイザリが二転三転してたりして。
そもそもいまどきはCGI=perlだと思っている人がたくさんおられるので、
CGIか。俺んとこはRubyとPHPだからおk
というねじれたミスリーディングさえ心配になってきます。
シェルにログインした状態でbashのバグを再現するワンライナーを実行し
結果がXXXなら、影響あり
とか解説している記事も多数ありますが、それならもっと実際の被害が出ててもよいはずな気がします。
中には
sshでリモートログインした状態で任意のシェルコマンドを実行できてしまうリスク
とかいう意味不明な記事も見かけました。
# sshでリモートログインできるんなら、脆弱性なんかイランがな
どのようなセキュリティ対策も、
これをやっておけば完璧
というものは存在しないと思うのです。
# 潜在バグと同じ。見つけるまでは存在するかどうかもわからない
あまり具体的にチェック方法を示すと、悪用手口を公開するようなものかもしれませんが、以下のような簡易チェックを明示する方が助かる気がします。
Perl - ShellShockがCGIに及ぼす影響を少し過大評価していたかも - Qiita
全部、環境変数に UserAgent が渡されているものの、
echo Hello!が実行されたのはPHPだけだった。
闇雲にbashの差し替えをしてニセbash/直ってないbashをつかまされるほうが怖いですね。たとえば「社内セキュリティ担当者」が配布するbashを間違えたり、古いアーキ(i386)用のbashが実はi686のバイナリになっていたとか。間抜けなシナリオはいくらでも考えられます。
その場合、対策したつもりが対策になっていないパターンに陥る可能性があります。
ちなみに手元の環境では、上記Qiitaの記事でNGになっていたPHPでもHello!は注入されませんでした。
鵜呑みはアカンというサンプルですかね。
コメント