2014-10-08

「Shellshock」のOpenVPNへの影響について - 補足

By Taro Yamazaki  |  16:30 No comments

前回の記事「bashの脆弱性「Shellshock」のOpenVPNへの影響について」でも取り上げたthreatpostの「OpenVPN Vulnerable to Shellshock Bash Vulnerability」において、OpenVPNの開発者の一人である Gert Doering の説明が引用されていました。その内容がちょっと分かりにくくて気になっていたのですが、OpenVPN Users MLのユーザーから関連した問い合わせがあり、本人が補足していました。重要な点なので、取り上げてみたいと思います。

threatpostの「OpenVPN Vulnerable to Shellshock Bash Vulnerability」の Gert による説明部分(一部)は次のようになっています。
Gert Doering, speaking on behalf of the OpenVPN open source community version, said that OpenVPN is vulnerable only on systems where /bin/sh points to /bin/bash, or if a script that runs using bash as an interpreter is called explicity.

“What you want to do from OpenVPN’s point of view is to ensure that you’re not using a 2.2.x version anymore, *and* that you just do not run your scripts using bash (“#!/bin/bash”) but use a shell that is better suited to script usage, like ash/dash,” Doering said.
ざっくり訳すとこんな感じでしょうか。
OpenVPN オープンソースコミュニティ版の開発者である Gert Doering は、OpenVPNがこの脆弱性の影響を受けるのはシステムが /bin/sh が /bin/bash を指しているか、スクリプトがインタープリタとして明示的に bash を使った場合に限られると述べた。

また、Gert は「OpenVPNの観点からすれば、2.2.x バージョンを使用していないこと、さらにはスクリプトを bash("#!/bin/bash")ではなく、ash/dash のようなシェルを使用するように」と述べた。
ここでいきなりOpenVPNのバージョン(2.2.x)の話が出てきてしまい、かつ詳細が述べられていなかったため、一部のユーザーが混乱したようです(私も唐突な印象がありました)。

これについて、Gert Doering 本人が以下のように補足しています。
2.2.x はスクリプトの実行に system() を使用しており、/bin/sh が bash へのエイリアスとなっている場合には shellshock の影響を受けることになります(これは、system() が内部的に "/bin/sh -c $yourcommand" を呼び出しているためです)。

それで、コマンド自体が安全だとしても、以下の条件が揃った場合には shellshock の脆弱性があります。バージョン 2.2.x を使用しており、かつ設定ファイル内で "script-security system" を使用しており、さらに /bin/sh が bash を指している場合です。このように条件が多いため、私自身がより明確に説明すべきだと考えました。

バージョン 2.3.0 では David(訳注:David Sommerseth)によって system() のサポートが削除され、fork()/exec()/wait() を明示的に使用するように変更されました。

-----------------------------------------------------------------
commit 3cb9f1a62b4a84dbf4acd1957c900a5b06fd6ac2
Author: David Sommerseth <davids@.....>
Date: Thu Oct 25 14:22:30 2012 +0200

外部プログラム/スクリプト実行時の system() 使用のサポートの削除

このパッチでは system() 呼び出しのサポートが削除され、*nix プラットフォームでは execve() 、Windows では CreateProcessW() の使用が強制されました。
これは外部スクリプト呼び出し時のセキュリティを向上させるためのものです。system() はセキュリティ上の欠陥につながる傾向があります。
これはコミット a82813527551f0e79c6d6ed5a9c1162e3c171bcf 以降で execve()アプローチがデフォルトになっていた理由ですが、2008年11月に system() が再度導入されました。
-----------------------------------------------------------------

混乱を生じさせてしまって申し訳なかったと思います。この質問はかなり急な問い合わせだったのですが、もう少し時間をかけて回答を精査すべきだったかもしれません(不明な点があれば追加の問い合わせがあると思ったのですが、そのまま記事内で使用されてしまいました)。
というわけで、OpenVPN 2.2.x から 2.3.x では外部スクリプトの呼び出し方法が変更されており、セキュリティの向上が図られていることが分かります。

なお、このメールではMac OS用OpenVPNクライアントである Tunnelbrick への影響についても触れられています。メールの原文はこちらを参照してください。

Image courtesy of Stuart Miles / FreeDigitalPhotos.net

Author: Taro Yamazaki

0 コメント:

© 2015 yamata::memo | Distributed By My Blogger Themes | Created By BloggerTheme9
TOP