Shellshock（CVE-2014-7169）

かつて大きく騒がれたというShellshock脆弱性についてのメモ。チラシの裏。

□脆弱性概要
Linuxで使われるオープンソースプログラムbash(Bourne Again Shell)コマンドシェルに脆弱性が発見された。脆弱性のあるシステムでリモートでコードが実行できるものになる。
公表日：2014年9月24日
CVE ID：CVE-2014-7169
CVSSv2 Score：10.0
CWE：CWE-78（OSコマンドインジェクション）

□影響を受けるバージョン
GNU project　
bash 4.3 bash43-025 まで

□何がやばかったのか
UNIX系のOSでよく使われるシェルで脆弱性が見つかったこと、脅威アクターはネットワーク経由でRCEが可能となること。CGI環境（webブラウザからの要求に応じてWebサーバがプログラムを実行させる仕組み）のサーバがクリティカルな影響を受ける。