情報参考URL

• http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html
• http://alblue.bandlem.com/2014/09/bash-remote-vulnerability.html
• http://d.hatena.ne.jp/Kango/20140925/1411612246
• http://applech2.com/archives/41014500.html

脆弱性を検証する

ターミナル.appで

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

と入力

vulnerable
this is a test
と表示されたのでパッチをあてる。

Xcode Developer Tools（Command Line Tools）インストール済み

cd Desktop
mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -
cd bash-92
cd bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0
cd ..
xcodebuild
sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
build/Release/bash --version
build/Release/sh --version
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin

追加→CVE-2014-7169

情報収集中。

2014.09.26追加

iOS 8.0.2が公開

 http://support.apple.com/kb/HT1222?viewlocale=ja_JP

2014.09.27追記

Apple曰く、OS Xのユーザのほとんどはbashの悪用に対して安全 -http://jp.techcrunch.com/-

OS Xに含まれているUNIXのコマンドシェルでコマンド言語でもあるbashには、不正なアクセスをしたユーザがリモートで脆弱なシステムを操作できる弱点がある。

OS Xでは、システムはデフォルトで安全であり、ユーザが高度なUNIXサービスを構成していなければbashがリモートで悪用されることはない。

われわれは高度なUNIXユーザのためのソフトウェアアップデートを迅速に提供すべく、目下作業中である。

「Apple Says Majority Of OS X Users Are Safe From Bash Exploits」

「Apple: Most OS X users safe from ‘Shellshock’ exploit, patch coming quickly for advanced Unix users」

Appleの公式リリースのURLが見当たらない…　待とう。

https://opensource.apple.com/ -Apple Open Sourse-