DNSを悪用して脆弱性「Shellshock」を攻撃する手法発見 - Full Disclosure

 

Full Disclosure Mailing List

bashのセキュリティ脆弱性(通称:Shellshock)の影響はいまだとどまることなく、さらに広がりを見せている。この脆弱性を攻撃する手法としてすでにHTTPやDHCPが知られているが、新たにDNSの逆引きを利用する方法が発見された。さまざまなメディアで報道されているが、例えばFull Disclosureに掲載された「Full Disclosure: CVE-2014-3671: DNS Reverse Lookup as a vector for the Bash vulnerability (CVE-2014-6271 et.al.)」などが興味深い。スレッドで、この問題について詳しく解説されている。

DNSの逆引きの結果として「() { :;}; echo CVE-2014-6271, CVE-201407169, RDNS」といったShellshockを悪用する文字列を返すようにDNSサーバを設定した場合、システムおよびDNSソフトウェアの実装の組み合わせによっては、逆引きを実施したソフトウェアにこの文字列がそのまま返ってくるものがある。逆引きを利用したソフトウェアが、例えばこの文字列をREMOTE_HOSTといった環境変数として設定し、そのあとでexec系のシステムコールが実行された場合、Shellshockを突いてこのコマンドが実行されることになる。

公開されたドキュメントでは、Mac OS XがShellshockの影響を受ける可能性があると指摘している。Red Hat Enterprise Linux、CentOS、FreeBSDといったOSはこうした影響を受けないといった指摘もあるが、今後影響を受けるシステムは増える可能性があり、関連したベンダーやプロジェクトの発表は気にかけておく必要があるだろう。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

現状に不満がある理由1位は?
[17:31 9/29] マネー
イベントは戦なり!『刀剣乱舞』モチーフの抜刀できる17色変化ペンライト登場
[17:13 9/29] ホビー
宮根誠司、同級生のダウンタウンとTV初共演「聞きたいことをぶつけられた」
[17:13 9/29] エンタメ
[渕上舞]ガルパン応援大使・蝶野選手と「パンツァー、フォー!」 “カップ麺・愛”も語る
[17:11 9/29] ホビー
ローランドDG、ワークエリアが1.6倍に拡大した3D切削加工機「MDX-50」
[17:09 9/29] テクノロジー

求人情報