2014年09月29日

bashの環境変数に関する脆弱性(2)

bashの環境変数に関する脆弱性、ShellShockですが、CentOSで修正があったようなので、アップデートしました。
# yum list bash
・・・
Installed Packages
bash.x86_64 4.1.2-15.el6_5.1 @updates
Available Packages
bash.x86_64 4.1.2-15.el6_5.2 updates

最新は、 4.1.2-15.el6_5.2ということです。
ネットで調べると、CentOSのBlogに、この件についての記事がありました。

Criticical BASH vulnerability discovered – update BASH on your CentOS Linux server now![CentOS Blog]

対策済みの4.1.2-15.el6_5.2にアップデートすると、テストスクリプトの実行結果が以下のようになりました。
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

4.1.2-15.el6_5.1の場合、warningとerrorが出ていましたが、修正版では両方とも消え、CentOSのBlogの記載されている通りになっていることを確認しました。

あと、CentOSのBlogでは、以下のリンクがありました。今回の脆弱性のより詳しい情報のようです。
http://seclists.org/oss-sec/2014/q3/649
https://rhn.redhat.com/errata/RHSA-2014-1293.html
BASH ShellShock Test here

日本語でのまとめサイトもありました。
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた

2014年09月25日

bashの環境変数に関する脆弱性

スラッシュドットにbashの環境変数に関する脆弱性の記事がありました。
GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に

個人で使っているサーバーでは、CGIは使っていなかったはずですが、念のため確認してみました。
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

すると見事に脆弱性ありでした。
そこで、bashのバージョンを確認してみました。

$ bash --version
GNU bash, version 4.1.2(1)-release (x86_64-redhat-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

OSはCentOSなので、yumで新しいバージョンが出ていないか確認することにしました。
すると、以下のように新しいバージョンがあるということで、アップデートしました。
# yum list bash
・・・
Installed Packages
bash.x86_64 4.1.2-9.el6_2 @updates/6.2
Available Packages
bash.x86_64 4.1.2-15.el6_5.1 updates
・・・

# yum update bash
・・・


再度脆弱性のテストをすると以下のようになりました。
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test


これは修正済みで良いのでしょうか? この週末に調べておこうと思います。



2014年09月16日

Linux版Oracle 11g XEの文字コードをシフトJISに変更

これまで2回ほどOracleを使っているサイトの改修に関わったことがありますが、どちらもシフトJISでした。
そのため、無料のLinux版Oracle 11g XEの文字コードをデフォルトのUTF-8からシフトJISに変更してみようと、調べてみました。

最初は簡単にできるだろと思っていまいしたが、ネットで調べるとOracle初心者には難しい内容のページばかりでした。しかし、とりあえず変更してみようと思い、いろいろなサイトと新しく買ってきた本を参考に、どうにかシフトJISのデータベース作成に成功しました。

今後、WEB関係でOracleを使用する可能性は低いですが、とりあえずシフトJISへの変更作業をまとめてみました。
Linux版Oracle 11g XE 文字コードをシフトJISに変更
posted by jun1 at 22:51| Comment(0) | TrackBack(0) | データベース