JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

  1. 最新情報を取得 (RSS | メーリングリスト
  2. HTTPS
  3. モバイル

Home > 情報提供 > 注意喚起 > 2014 > GNU bash の脆弱性に関する注意喚起

最終更新: 2014-09-25

GNU bash の脆弱性に関する注意喚起

各位

                                                   JPCERT-AT-2014-0037
                                                             JPCERT/CC
                                                            2014-09-25

                  <<< JPCERT/CC Alert 2014-09-25 >>>

                   GNU bash の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140037.html

I. 概要

  GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNU
bash の環境変数に設定される環境において、遠隔の第三者によって任意のコー
ドが実行される可能性があります。

  本脆弱性を修正するパッチが公開されましたが、修正が不十分であるとの指
摘がでており、依然として影響を受ける可能性がありますので、該当するバー
ジョンの GNU bash を使用している場合は、「IV. 回避策」を参考に、至急修
正パッチを適用のうえ、回避策の実施を検討してください。

  なお、本脆弱性を使用する攻撃手法が公開されています。


II. 対象

  以下のバージョンが脆弱性の影響を受けます。

  - Bash 4.3 Patch 25 およびそれ以前
  - Bash 4.2 Patch 48 およびそれ以前
  - Bash 4.1 Patch 12 およびそれ以前
  - Bash 4.0 Patch 39 およびそれ以前
  - Bash 3.2 Patch 52 およびそれ以前
  - Bash 3.1 Patch 18 およびそれ以前
  - Bash 3.0 Patch 17 およびそれ以前

  ディストリビュータが提供している bash をお使いの場合は、使用中のディ
ストリビュータの情報を参照してください。


III. 対策

  本脆弱性を修正したパッチが公開されていますが、現段階で修正が
不十分であるため、以下の回避策を適用してください。


IV. 回避策

  GNU Project より本脆弱性の一部を修正するパッチが公開されています。

  提供されているパッチ

  - Bash 4.3 Patch 25
  - Bash 4.2 Patch 48
  - Bash 4.1 Patch 12
  - Bash 4.0 Patch 39
  - Bash 3.2 Patch 52
  - Bash 3.1 Patch 18
  - Bash 3.0 Patch 17

脆弱性の影響を軽減するため、上記パッチの適用を検討してください。また、
合わせて、以下の回避策を適用することをお勧めします。

  - GNU bash を代替のシェルに入れ替える
  - WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける
  - 継続的なシステム監視を行う

  ディストリビュータが提供している bash をお使いの場合は、使用中のディ
ストリビュータの情報を参照のうえ、修正済みバージョンの適用について
検討してください。


V. 参考情報

    GNU Project
    bug-bash (thread)
    http://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html

    Red Hat, Inc
    Bash specially-crafted environment variables code injection attack
    https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

    Red Hat, Inc
    Resolution for Bash Code Injection  Vulnerability via Specially Crafted  Environment Variables  (CVE-2014-6271) in Red Hat Enterprise Linux
    https://access.redhat.com/site/solutions/1207723

    Centos Project
    [CentOS] Critical update for bash released today.
    http://lists.centos.org/pipermail/centos/2014-September/146099.html

    Debian Project
    Debian Security Advisory
    https://www.debian.org/security/2014/dsa-3032

    Ubuntu
    USN-2362-1: Bash vulnerability
    http://www.ubuntu.com/usn/usn-2362-1/


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル

JPCERT/CCからのお知らせ

2014-09-24
脆弱性を識別するCVE番号の新体系による採番のお知らせ
2014-09-22
「STOP!パスワード使い回し!」キャンペーンご賛同企業一覧を公開
2014-09-17
「STOP!パスワード使い回し!」キャンペーンにご賛同いただける企業の募集
2014-09-17
STOP!! パスワード使い回し!!
パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
お知らせ一覧 お知らせRSS
パスワードリスト攻撃による不正ログイン防止

イベント

・「Recommendation of Perfect Unpacking」講演資料公開

・「Webアプリケーション開発におけるHTML5のセキュリティ」講演資料公開

・「HTML5 Security & Headers - X-Crawling-Response-Header-」「Fight Against Citadel in Japan」講演資料公開

・「あなたも狙われている!? インターネットバンキングの不正送金とマルウエアの脅威 」講演資料公開

・「今から始めるHTML5セキュリティ」講演資料公開

過去のイベント お知らせRSS

お薦めページ

はじめての暗号化メール (Thunderbird編) 公開

セキュリティ対策チームの構想、構築、運用のためのCSIRTマテリアル

標的型攻撃への予防 ITセキュリティ予防接種調査報告書

講演・執筆活動

講演資料公開中
JPCERT/CC職員の講演・執筆活動一覧をご覧いただけます。

過去の講演・執筆一覧
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english
  1. ご利用にあたってのお願い
  2. プライバシーポリシー
Copyright © 1996-2014 JPCERT/CC All Rights Reserved.