heartbleed 脆弱性に続いて、bash Shellshock なる脆弱性の情報が最近流れている。ゼロデイ脆弱性（すぐにでも対処すべき）なので非常に怖い。自分が管理している CentOS のサーバーは yum update bash したが、一つ CentOS 4.9 の古いサーバーは脆弱性に対処した bash の update が yum で提供されていないようだ。

WWW サーバ(apache) の方は、cgi が簡単に見つかるようにはしていない（ロボットでは）らしいので大丈夫ということらしい。ただ、ターゲットにされると、一度人間が操作してみて、cgi の URL をリストアップして、それらをチェックされるとまずい気がしなくもないが…

問題は、qmail + fml で構築された ML サーバの方か。適当に Web ページに書いてあるアドレスは、ML で複数の担当者に送られる可能性が高いのでは無いだろうか。そこへ、悪意のある改造したメールを送信すると、任意のコマンドが実行されてしまう。まぁ、権限的には qmail の範囲なので、なんでも書き換えたりは出来ないが。passwd ファイルを get して、その中のユーザを総当り攻撃されたりすると怖いかも。

bash をパッチが当たったものと入れ替えてしまえばいいのだが、古い OS に新しい bash で問題が出ないか不安で、起動しなくなった際にレンタルサーバー上で動いているので、どうしたらいいのかわからない。

ということで、qmail-local.c 内の /bin/sh を呼んでいる部分を、パッチの当たった bash に書き換えて、そちらを呼ぶようにした qmail-local と入れ替えることにした。maillog を見ると、今回の悪意あるメールを送った際、きちんとエラーを出しているのが、記録されていた。多分、これでこのニッチな攻撃には対応できそう。

バッファ・オーバーフローを利用するものなんかはやり方が難しすぎてわからないが、今回のような小生でも攻撃方法がわかる脆弱性は、本当に怖い。