[Linux] GNU Bash 취약점 보안 패치 방법

이 컨텐츠는 CentOS 6.x 기준으로 작성되었습니다.

지난 9월 24일 Stephane Chazelas에 의해 GNU Bash 취약점이 발견되어 KISA에서도 이를 9월 26일에 보안 권고 사항으로 배포하였습니다.

이 보안 취약점은 Bash 4.3 이하 버전에 해당하는 내용입니다. 아래 명령어로 버전을 확인하신 후 해당 버전인 경우 패치를 권장합니다.

bash --version

 

패치 방법 (패키지 방식 업데이트)

yum clean all && yum update bash

 

패치 후 보안 취약점 검증 테스트 방법 (총 5가지 테스트)

// CVE-2014-6271 검증 -> this is test 로 출력되면 정상
env x='() { :;} echo vulnerable' bash -c "echo this is a test"

// CVE-2014-7169 검증 -> 'No such file ~' 혹은 '그런 파일이나~'로 출력되면 정상
env X='() { (a)=>\' bash -c "echo date"; cat echo ; rm -f echo

// CVE-2014-7186 검증 -> 'bash warning:' 이 여러줄 출력되면 정상
bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF 
<<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' | echo "CVE-2014-7186 vulnerable, 
redir_stack"

// CVE-2014-7187 검증 -> 'do echo "for x$x in ; do' 가 포함되어 출력되면 정상
(for x in {1.20} ; do echo "for x$x in ; do :"; done; for x in {1.20} ; do echo 
done ; done) | bash | echo "CVE-2014-7187 vulnerable, word_lineno"

// CVE-2014-6277 검증 -> 'command not found' 가 출력되면 정상
foo='() { echo not patched; }' bash -c foo

패치와  테스트 방법은 터미널에 접속해 위 명령어들을 실행해주시면 됩니다.

 

[참조 링크]

– http://lists.centos.org/pipermail/centos/2014-September/146099.html

– http://lists.centos.org/pipermail/centos/2014-September/146154.html