bash の脆弱性
原則 root な PuppyLinuxには余り関係なさそうですが。僕(Puppyは571JP)はとりあえず、Ubuntu Lucid からbash_4.1-2ubuntu3.1_i386.debをもらってきて /bin/bash のみ置換しました。<s>今のところ副作用とかはないみたいです。</s>
脆弱性検証コード
簡易チェック
以下のコマンドを実行して「vulnerable」が表示された場合、CVE-2014-6271の影響を受ける可能性がある。
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
コマンドが実行できた場合に表示される内容
vulnerable
this is a test
パッチ適用後に表示される内容
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
追記 2014/10/13
もらってきた bash(GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu) )で frisbee での動作不良を確認しました。sns は動作しました。
追記その2 2014/10/13
本家スレにも言及があるようですが、bashのシェル関数の命名規則の変更が原因のようです。- が使えなくなっているようです。
とりあえず、/usr/local/frisbee/func 内の関数名を _ に変更したら動作するようになりました。既出でしたらスルーよろしく。
私製petをアップしますがテストする場合はRAMモードを使うか、事前にバックアップをとる等してください。
追記その3 2014/10/13
bash のパッチが進んで上記の対策は不要のようです。先ほどubuntu lucid update からもらってきたbash(10/08/2014, md5sum 346788b2b287146fcff31bf888fad103)の実行結果は以下のとおりです。
# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
#