DNSを悪用して脆弱性「Shellshock」を攻撃する手法発見 - Full Disclosure

後藤大地  [2014/10/16]

Full Disclosure Mailing List

bashのセキュリティ脆弱性(通称:Shellshock)の影響はいまだとどまることなく、さらに広がりを見せている。この脆弱性を攻撃する手法としてすでにHTTPやDHCPが知られているが、新たにDNSの逆引きを利用する方法が発見された。さまざまなメディアで報道されているが、例えばFull Disclosureに掲載された「Full Disclosure: CVE-2014-3671: DNS Reverse Lookup as a vector for the Bash vulnerability (CVE-2014-6271 et.al.)」などが興味深い。スレッドで、この問題について詳しく解説されている。

DNSの逆引きの結果として「() { :;}; echo CVE-2014-6271, CVE-201407169, RDNS」といったShellshockを悪用する文字列を返すようにDNSサーバを設定した場合、システムおよびDNSソフトウェアの実装の組み合わせによっては、逆引きを実施したソフトウェアにこの文字列がそのまま返ってくるものがある。逆引きを利用したソフトウェアが、例えばこの文字列をREMOTE_HOSTといった環境変数として設定し、そのあとでexec系のシステムコールが実行された場合、Shellshockを突いてこのコマンドが実行されることになる。

公開されたドキュメントでは、Mac OS XがShellshockの影響を受ける可能性があると指摘している。Red Hat Enterprise Linux、CentOS、FreeBSDといったOSはこうした影響を受けないといった指摘もあるが、今後影響を受けるシステムは増える可能性があり、関連したベンダーやプロジェクトの発表は気にかけておく必要があるだろう。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

『機動戦士ガンダム サンダーボルト』、イベント上映の"舞台挨拶"開催決定
[00:12 5/26] ホビー
「弱虫ペダル」実写ドラマ化!BSスカパー!で8月から放送
[00:00 5/26] ホビー
[弱虫ペダル]人気自転車マンガが実写ドラマ化 8月からBSスカパー!で放送
[00:00 5/26] ホビー
板垣恵介が6月にトークショー&サイン会、宮本武蔵が眠る地・熊本で
[23:10 5/25] ホビー
映画「高台家の人々」in渋谷マークシティ、キャストの着用衣装を展示
[23:01 5/25] ホビー

特別企画 PR

求人情報