GNU bashの脆弱性を修正するAppleの公式アップデートリリース

水曜日 , 1, 10月 2014 makoto セキュリティ, 技術的なメモ Leave a comment

GNU bashの脆弱性について、OS Xの公式アップデートがリリースされました。
リリースされたのは10.7から10.9までのバージョンで、10.6より以前のバージョンは対象外のようです。(※OS X Yosemite(10.10)では、Beta 4から対応しているようです。)
また、通常のOSアップデートのようにApp Store経由で行われるのではなく、Appleのサイトからパッチを含むインストーラをダウンロード後、インストーラにより適用する方式となっています。
OS X bash Update 1.0

以下、バージョンごとの修正パッチへのリンクです。

  • OS X Mavericks(10.9)
  • OS X Mountain Lion(10.8)
  • OS X Lion(10.7)

    • また、Appleの公式アップデートによる修正とよく知られた修正パッチによるアップデートとでは、実行結果が異なるようです。
    確認は、比較用の環境が用意できたOS X Mountain Lionで行いました。

      Appleの公式アップデートの実行結果
    osx108:~ foo$ env x='() { :;}; echo vulnerable' bash -c "echo hello"
hello
      修正パッチによるアップデートの実行結果
    osx108:~ foo$ env x='() { :;}; echo vulnerable' bash -c "echo hello"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello