Hatena::ブログ(Diary)

hogehoge @teramako RSSフィード

 

2014-09-29

shellshock と sudo

CVE-2014-6271を発端とする bash脆弱性、いわゆる ShellShock って呼ばれている奴。環境変数に仕込んだ任意のコマンドを実行できてしまうってことから、CGI との組み合わせが取り沙汰されている。

その頃 sudo の設定の勉強をしていたので、ふと気になったのが、sudoの設定で環境変数を持ち越して使用することができる env_keep の設定。sudo で root としてbashを実行させれば、任意のコマンドを特権昇格して実行できちゃうんじゃ? というもの。

早速試してみた。

普通に実行したもの

$ export ORACLE_SID='() { :;}; echo Vulnerability !!!'
$ cat /usr/local/bin/testcmd 
#!/bin/bash -x

id
printenv ORACLE_SID

$ /usr/local/bin/testcmd 
echo Vulnerability '!!!'
Vulnerability !!!
+ id
uid=2001(testid) gid=100(users) 所属グループ=100(users),102(gsudo) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
+ printenv ORACLE_SID
() {  :
}
$

環境変数に ORACLE_SID を使用しているが、別に Oracle に恨みがあるわけではない。

まぁ、普通にコマンド実行がされている。

sudo経由で実行

攻撃コードを入れた場合

$ export ORACLE_SID=<span style="color: magenta">'() { :;}; echo Vulnerability !!!'</span>
$ sudo /usr/local/bin/testcmd 
+ id
uid=0(root) gid=0(root) 所属グループ=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
+ printenv ORACLE_SID
$

値が何も出力されないので、やり方間違えたかな?と何度試しても同じだった。今度は普通の値を入れてみたところ、普通に出力される結果となった。

$ export ORACLE_SID=TESTDB
$ sudo /usr/local/bin/testcmd 
+ id
uid=0(root) gid=0(root) 所属グループ=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
+ printenv ORACLE_SID
TESTDB
$

どうやら、sudo経由だと攻撃コードが入っていると環境変数として設置されないようにサニタイズをしている様子。

2004年にはCVE-2004-1051として報告&修正されている。

特権昇格が問題だったというのもあると思うけど、bashの問題をsudoが肩代わりして修正してしまい、bash側は放置、という印象を受ける。今の問題で言えば、Apache 等のWebサーバ側で環境変数をサニタイズするみたいな。

何だかモヤっとする後味だったけれど、とりあえず、sudo の方は影響を受けないよってことで。

2014-08-17

Firefox 34 で Method Definition 構文が実装された

var o = {
  method: function method () {
    return "OK"
  },
};

と書いていたところを

var o = {
  method() {
    return "OK";
  },
};

こう書けるようになる。

2014-08-12

Firefox 34 でES6の Object.assign() が実装されたが…

皆さん待望の、mixin をするメソッドである。

第一引数のtargetに、第二引数以降のプロパティの値を代入していく。

var obj = {
  foo: "FOO",
};

var res = Object.assign(obj, { bar: "BAR" }, { piyo: "PIYO" });

obj.bar; // => "BAR";
obj.piyo; // => "PIYO"
res === obj; // => true

代入されるプロパティは:

  • ソースとなるオブジェクト自身のプロパティ(つまり、[[Prototype]]から継承したものは含まない)
  • 列挙可能であること(enumerable属性がtrueであること)

簡易的には以下の様な実装

Object.assign = function(target, ...sources) {
  for (let source of sources) {
    let keys = Object.getOwnPropertyNames(source);
    for (let key of keys) {
      let desc = Object.getOwnPropertyDescriptor(source, key);
      if (desc && desc.enumerable) {
        target[key] = source[key];
      }
    }
  }
  return target;
}

大まかな話はこんな感じ。

次は細かい話。

デスクリプタのコピーではなく、代入(=)がされる

上記簡易コードで、target[key] = source[key];と書いた。

本来、プロパティのコピーをするならObject.defineProperty(target, key, desc)と書くところだが、仕様も実装もそうなっていない。(個人的には気に食わない点)

var obj = Object.assign({}, {
  get foo() {
    return "FOO";
  },
});

というコードがあった場合、obj.fooはgetterではなく、ただプロパティとして代入される。

もっと酷い例を挙げると、

var obj = Object.assign({}, {
  get __proto__() {
    return null;
  },
});

これ、obj.__proto__ = nullしているのと同義になり、[[Prototype]&93;が書き換えられるというアレなことが起きる。

Symbolもあるんだよ

現状のFirefoxの実装( https://hg.mozilla.org/mozilla-central/diff/53769e48d35b/js/src/builtin/Object.js )では抜けているが、Symbol型のプロパティも代入の対象である。

上記の簡易実行コードは、下記のように書いたほうが正確である...(仕様が後で書き換わる可能性もあるが、現状では)

Object.assign = function(target, ...sources) {
  for (let source of sources) {
    let keys = [...Object.getOwnPropertyNames(source), ...Object.getOwnPropertySymbols(source)];
    for (let key of keys) {
      let desc = Object.getOwnPropertyDescriptor(source, key);
      if (desc && desc.enumerable) {
        target[key] = source[key];
      }
    }
  }
  return target;
}

現状のFx34のコードは仕様に沿ってないので、 https://bugzilla.mozilla.org/show_bug.cgi?id=937855#c32 にコメントだけは残しておいた。何の反応もなく進んでしまうようなら、正式にバグ登録したい。

追記

様子を見るまでもなく、バグ登録された。