AppleからもようやくShellshock脆弱性を修正するためのアップデート「OS X bash Update 1.0」が公開され、この問題も一段落…かと思いきや、Appleが公開したアップデートは不十分で「CVE-2014-7186」は修正されていないとの指摘があります(ZDNet)。
どうやらShellshockの脆弱性が発見された後、bashの不具合が芋づる式に発見され、アップデートはこれら全部を修正するものとはなっていない様子。
「bashcheck」と呼ばれる、Shellshock関連の脆弱性がどこまで修正されているのか簡単に確認することができるツールが公開されているので気になる方はこれを使ってみるとよいでしょう。
OS X bash Update 1.0適用後の状況
bashcheckを実行してみると上のように表示されました。少し分かりにくいですが赤文字が表示されているところが未対応の脆弱性で、やはり「CVE-2014-7186」は修正されていないことがわかります。
もともとShellschok脆弱性はOS Xを普通に使っている大部分のユーザーには影響がないというAppleからのコメントもあり、未修正の脆弱性がどれくらい問題なのか不明ですが、ちょっと気持ち悪いですね。
まとめ
今回公開された「OS X bash Update 1.0」でbashの脆弱性が完全に修正されたわけではないことがわかりました。今後さらなるアップデートに期待です。
またLinuxなどでもShellshock脆弱性に対する修正パッチの更新が行われているようです。初期に公開された修正パッチでは脆弱性が修正しきれていないので、サーバー管理者は再度アップデートを行い、Shellshock対策を完璧にしておいたほうが良いでしょう。
現時点でCentOS 6.5の場合「yum update bash」実行後bashcheckを実行したら全部OKと表示されました(めでたい)。
