Heartbleedよりも危険性高い、bash脆弱性「ShellShock」

9月24日ごろから広く知られるようになったbashのセキュリティ脆弱性(通称ShellShock)を巡る報道が連日続いている。世界中のベンダやプロジェクト、コミュニティがこの脆弱性の検討を始めており、この問題は先のOpenSSLのセキュリティ脆弱性(通称Heartbleed)を超える可能性が出てきている。ShellShockは影響範囲が広すぎる上、まだこの問題が自分の使っているソフトウェアにも存在しているということに気がついていないユーザや開発者が多いという問題がある。

サービスを提供するサーバが環境変数を渡すまたは受け取る仕様になっているものは多い。プロセスはfork(2)システムコールで自身をコピーした時に環境変数を引き継ぐ。プロセスはfork(2)を繰り返していくことがあり、そのどこかのタイミングでbash(1)が実行されれば細工された環境変数経由で任意のコマンドが実行されることになる。当初はWebサーバとCGIに焦点があてられていたが、これは問題のほんの小さな側面に過ぎない。ssh(1)でのログインにも影響がでてくるし、環境変数を利用するサービスはほかにいくつもある。

多くのユーザを抱えるMac OS Xの/bin/shの実態はbashであり、Linuxディストリビューションの多くもbashを/bin/shに使っている。