に投稿

またまた脆弱性

Pocket

久しぶりと言ってもOPENSSLのHeartbleed Bug以来ですから、約半年ぶりに大きなセキュリティバグが発見されてしまいました。OPENSSLは暗号化に関する部分の脆弱性だったので個人のクレジットカードなどの情報が入力時に漏れてしまうというような物だったのですが、今回は、サーバOSの任意コマンドを実行できてしまうというもの。

OSはカーネルという中枢部分のプログラムが常駐して動いているのですが、それだけでは非常に使いづらいので、シェルという上被せのプログラムを通してOSを操作することに成っています。またこのシェルというやつは、OS上で動くユーティリティプログラムの起動にも使うので、コンピュータシステムの核と言ってもいいくらい重要な物です。

今回はこのシェルの部分に脆弱性があり任意のコマンドが外部から実行できてしまうということでした。通常はWebサーバに対して、ユーザが任意の情報を送りつけ(平たく言えば、そのサーバのURLをある特定の文字列を入れてやるって感じ)、WEBサーバを思い通りに動かすということです。

具体的には、何でもできてしまうのですが一番簡単なのは、WEBの改ざんとか、うまくいけばDBにアクセスして情報を盗み出すということでしょうか?WEBの改ざんはすぐにもできそうですが、DBにアクセスしてとなると相当な労力が必要かもしれません。

 

という訳で非常に大変なことが起こっている訳で、今日徹夜で対応しているシステム部隊もたくさんいることでしょう。がんばれ