bashの脆弱性(CVE-2014-6271, CVE-2014-7169)に関するご注意
投稿日:2014/09/25 14:25
このエントリは適時更新していきます。(Last Update 2014/09/25 18:15)
この脆弱性へのディストリビューターからアップデートがありますが、不完全であるという情報もあるため、現在情報収集を行っています。このエントリーは緊急性を鑑み、お客様に速報的な情報をお伝えするものです。
概要
9月24日、Linuxで広く使われているシェルプログラム「bash」に脆弱性が見つかりました。
影響を受けるのは、LinuxやFreeBSDなどUNIX系のOSです。
この脆弱性は、bashが環境変数を通じて、特定の記述をした文字列をコマンドと解釈して実行してしまうものです。
また、CGI経由などでリモートから悪用される可能性があります。
現在ConoHaで提供している標準OSはCentOS6.5で、この脆弱性の影響を受けます。
また、過去のバージョンのCentOSも同様に影響を受けます。
対策
ディストリビューターから対策済みのプログラムが提供されています。
ConoHaの標準OS(CentOS)の場合は、yumコマンドでbashのアップデートを行ってください。
また、文末の関連情報に各OSのアナウンスへのリンクを掲載しています。
CentOS以外をお使いの場合は、こちらの情報を元にお客様自身でアップデートを行ってください。
1. bashのバージョンを確認する
|
1 |
# yum list installed | grep bash |
2. bashのアップデートを実行
|
1 |
# yum -y update bash |
アップデート後、バージョンを確認して下さい。以下のいずれかであれば、対策済みのバージョンがインストールされています。
- bash-4.1.2-15.el6_5.1
- bash-4.1.2-15.el6_5.1.sjis.1
- bash-4.1.2-9.el6_2.1
- bash-4.1.2-15.el6_4.1
更新履歴
- 2014/09/25 14:25 初版公開
- 2014/09/25 18:15 関連情報にJPCERTの注意喚起を追加
関連情報
Vulnerability Summary for CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開 – ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1409/25/news042.html
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
Red Hat Enterprise Linux
https://access.redhat.com/articles/1200223
Ubuntu
http://www.ubuntu.com/usn/usn-2362-1/
Debian
https://security-tracker.debian.org/tracker/CVE-2014-6271
Gentoo
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2014-6271
SuSE
https://bugzilla.novell.com/show_bug.cgi?id=CVE-2014-6271