パッチが何回もでて大変面倒なのですが、一応おさまってきたようなのでメモ(CentOS,RHELのみ)
bash自体はログインしてないとあまり使うことはないと思いますが、PHPやPerlなどのWebサイトから呼び出しされると(大変)危なそうな感じです。
CentOS 5,6,7はメンテナンス中なので対応済みパッケージのインストール「yum update bash」でおしまい
bash-3.2-33.el5_11.4 (RHEL5,CentOS5) bash-4.1.2-15.el6_5.2 (RHEL6,CentOS6) bash-4.2.45-5.el7_0.4 (RHEL7,CentOS7)
で、CentOS4(RHEL4)とかって、ぶっちゃけまだあるわけですよ(^^;
どうしたもんだと思ったら、RHEL4の延長サポート中でパッケージがでてて、どうもOracle Linuxのほうはソースが公開されているらしいってことで、そっちからとってこればいれれそうとのこと。(オープンソースバンザイ(笑))
Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)(redhat)
この投稿時点では「bash-3.0-27.0.3.el4.src.rpm」が最新
wget https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm rpmbuild --rebuild ./bash-3.0-27.0.2.el4.src.rpm cp /bin/bash /bin/bash.old rpm -Uvh /usr/src/redhat/RPMS/i386/bash-3.0-27.0.3.i386.rpm
<関連>
[CentOS] CentOS4のリポジトリ(vault.centos.org)(1w1.org)