君たちの WordPress は shellshock 対策をしたのか!?

実質, ウワモノのPHPスクリプトで動くブログパッケージの問題ではないですけど.

Shellshock_-_Nam_'67

Troy Hunt: Everything you need to know about the Shellshock Bash bug

サーバとかよく分からず, ウワモノの WordPress のみで頑張ってる人はプラグインとかありますわ.

チェッカーとして使えます.

入れたらボタン押すだけ.

プラグインを追加_‹_新___android_ファッション通信_Σ_^A^;__—_WordPress

Shellshock_Vulnerability_Check_‹_新___android_ファッション通信_Σ_^A^;__—_WordPress

bash アップデート後にやってみたので, 問題なし.

Shellshock_Vulnerability_Check_‹_新___android_ファッション通信_Σ_^A^;__—_WordPress 2

WordPress › Shellshock Check « WordPress Plugins

詳しいことはよくわからないけど, ここらに書いてる.

CVE-2014-6271

CVE-2014-7169

サーバ内に入れる人は以下で「VULNERABLE」と表示されたらアウト, と.

ほとんど該当してるんじゃないかと思うけど.

env x='() { :;}; echo VULNERABLE' bash -c 'echo hello'

対策は, bash をアップデートするだけ.

yum update bash

apt-get install --only-upgrade bash

対策(アップデート)前だと,

# env x='() { :;}; echo VULNERABLE' bash -c 'echo hello'
VULNERABLE
hello

対策(アップデート)後だと,

# env x='() { :;}; echo VULNERABLE' bash -c 'echo hello'
hello

らしい.

環境変数から, bashコマンドを実行するようです.

ちと, さきほどのPHPで書かれたWPプラグインのコードを見てみる.

以下抜粋.

// CVE-2014-6271
$env = array('SHELL_SHOCK_TEST' => '() { :;}; echo VULNERABLE');
$desc = array(
    0 => array('pipe', 'r'),
    1 => array('pipe', 'w'),
    2 => array('pipe', 'w'),
);
$p = proc_open('bash -c "echo Test"', $desc, $pipes, null, $env);
$output = stream_get_contents($pipes[1]);
proc_close($p);
if (strpos($output, 'VULNERABLE') === false) {
    return false;
} else {
    return true;
}


// CVE-2014-7169
$desc = array(
    0 => array('pipe', 'r'),
    1 => array('pipe', 'w'),
    2 => array('pipe', 'w'),
);

$p = proc_open(
    "rm -f echo; env 'x=() { (a)=>\' bash -c \"echo date +%Y\"; cat echo", 
    $desc, $pipes, sys_get_temp_dir()
);
$output = stream_get_contents($pipes[1]);
proc_close($p);

$test = date('Y');

if (trim($output) === $test) {
    return true;
} else {
    return false;
}

true となれば, アウチサバ.

このプラグイン的には,PHPの関数「proc_open()」を使ってやってようですが, 他にもあるはず, shell 実行系の関数.

...
- system — 外部プログラムを実行し、出力を表示する
- exec() - 外部プログラムを実行する
- passthru() - 外部プログラムを実行し、未整形の出力を表示する
- popen() - プロセスへのファイルポインタをオープンする
- escapeshellcmd() - シェルのメタ文字をエスケープする
- pcntl_exec() - 現在のプロセス空間で指定したプログラムを実行する
- バックティック演算子
...

PHP: system - Manual

アプリ開発者 vs サーバ管理者で「おまえらがやれよ」とか不毛なことになったり,

大した理由もなしに, LLからshell叩くようなアプリを作ってたり.

 なお、ソースコードからのコンパイルではなく、ディストリビューターが配布しているbashパッケージを導入すれば、CVE-2014-6277/6278として報告されている脆弱性以外は影響を受けない事実を確認できたことも併せて発表している

ニュース - 「ShellShock」は公式パッチでは不十分、JPCERT/CCが追加の注意喚起:ITpro

Shellshockの影響が及ぶケースをまとめてみた - piyolog

けどまあ, それぞれ, いろいろな事情があったりして, いろんなレイヤーで対応策を知ってたほうが, きっとうまくいくだろうと.

「LINEウェブストアにログインできませんでした」てうざくね?

なんかたくさんくるんだけども

20140821-142630

IPアドレスを表示してリンクになってるけど, そこにアクセスしろ, ってことに見えるけどなんか意味あるのだろうか.

IPアドレスを検索してみるとそこはインドネシア.

IPアドレス&所在地検索_IP_Geolocation_Search

IPアドレス&所在地検索 IP Geolocation Search

まあ, どちらにしろ自分ではないのはわかってる.

そして, ヘルプページにいく.

20140824-183645

第三者にログインされてない場合は, このLINEからのメッセージは来続けるのか.

「パスワード変更」を促されるけど, パスワードを変更しても, このメッセージてくるんだろ?

かんたんな文字列のパスワードを設定している人への警告にはなるのか.

ふと, 自分のスマホのIPアドレスなんだろうと, 簡単に調べてみたら, なんと Google-Proxy とか.

20140824-184711

診断くん

2013年3月6日 の記事とか, あたしは化石か.

Chrome for Androidのベータに、モバイルのChromeユーザのWeb閲覧を高速化し帯域を節約するための新機能を実装した、と発表した。それは一種のプロキシサーバ機能で、この機能をonにしておくと、ユーザのWebリクエストとそれに対するレスポンスがすべてGoogleのサーバを経由するようになり、そこでGoogleは同社のPageSpeedライブラリを使ってコンテンツを圧縮し最適化する。

Chrome for AndroidではWeb通信がGoogleのプロキシサーバを経由する - TechCrunch

正しいIPアドレスは FORWARD系の情報として表示されてる.

20140824-185349

フツーに端末で,「設定」-「端末の状態」で見れるのか.

20140824-185931

あ,

で, LINEのメッセージ止めるのはどうしたらいいんだたけか.

メールアドレスの変更しかないの?

関係者の方はご苦労様です.

あなたの検索履歴と移動履歴がアプリから覗かれている!?

こんな記事がありまして、Googleのアカウントって他人に知られたらほんとやばいよなあ、とまず。

「ウェブ履歴」で思考・興味が丸裸になる

「ロケーション履歴」でおおよその行動履歴がモロバレに

すべてのGoogleユーザが知っておくべき2つの機能とパスワード管理の重要性 | アプリオ

Google ウェブ履歴
https://history.google.com/history/

Google_-_ウェブ履歴

Googleロケーション履歴
https://maps.google.com/locationhistory/

Googleロケーション履歴

で、マカフィーからこんな情報がでてます。

重要な確認処理が省略されたほぼ自動的な方法でGoogle Playから他のアプリのダウンロード、インストールおよび起動を行う危険な国内ユーザー向けアプリをGoogle Play上で確認しました。

端末上のGoogleアカウント情報を取得し、そのアカウントを用いてGoogleサービスへアクセスする権限をユーザーに要求します。

アプリはその認可トークンを用いてGoogle PlayストアのWebサーバーと何度か非公式な方法でのHTTP通信を行います。

この自動インストールでは、アプリ説明の閲覧や権限要求の確認と許可・拒否を行う機会がユーザーに与えられません。

要するに

「すべての権限の確認をユーザにさせることなく勝手にアプリをインストールして起動できる」

ということになるのでしょうか。

防ぐ方法としては、

この自動インストールは、ユーザーがアプリに対し「端末でアカウントを検索」(GET_ACCOUNTS)と「端末上のアカウントを使用」(USE_CREDENTIALS)という権限要求をインストール時に許可することで可能となります。

ということなので、

実行時に表示されるGoogleアカウントのSIDおよびLSIDに対する権限要求画面上でそれを拒否すること

ということしかないようです。

マカフィー株式会社 | McAfee Blog -Google Playからアプリ自動インストールを行う危険な国内向けAndroidアプリ

この2つのパーミッション

GET_ACCOUNTS
USE_CREDENTIALS

ほとんどの人が気にしてないような気がします。

実際、あたしの今現在の端末の状況を確認してみました。

続きを読む >>