ShellShock（CVE-2014-6271）の各ディストリビューションの対応状況について

こんにちは、村田です。

本日は2014年9月24日に発見された脆弱性問題のShellShock（CVE-2014-6271）について、発見から1周間が経ち各ディストリビューションの対応状況も出揃いましたので、まとめてみました。

実際に同脆弱性をついた攻撃は始まっており、代表例ではCGIを利用するWebサーバなどは環境変数に悪意のあるコードを埋め込むことでサーバー上の情報を抜き取られる可能性やが乗っ取られる可能性がありますので注意が必要です。

また、Linuxサーバーだけではなく Linux/Unix をベースにしたネットワーク機器も同脆弱性の対象となる可能性があります。例えばネットワークルーターなどもWebベースの設定画面などをCGIなどで組むケースがあり、外部からアクセス可能な状況であれば脆弱性を突かれる可能性があります。

個人情報、重要データの漏洩やサイト改ざんという最悪な自体も想定されるため、外部からアクセス可能なネットワーク機器やサーバーなどは一度すべてチェック頂くと良いでしょう。

Red Hat Enterprise Linux

Red Hat Enterprise Linux
https://access.redhat.com/security/cve/CVE-2014-6271

日本語でのナレッジベースは以下を参照ください。
https://access.redhat.com/ja/node/1210893

Red Hat Enterprise Linux をご利用の方でご注意頂きたいのは Red Hat Enterprise Linux 4 をご利用で、Webサーバーなどに CGI などのスクリプトを利用しているケースです。Red Hat Enterprise Linux 4 は既に延長ライフフェーズに入っております。Extended Life Cycle Supportをご購入頂いていない方はパッチの提供を受けられませんのでご注意下さい。 

Red Hat Enterprise Linux 4 の Extended Life Cycle Support について
http://i.sios.com/products/oss/redhat/info/rhel4-els-support.html

SUSE Linux Enterprise Server

SUSE Linux Enterprise Server
http://support.novell.com/security/cve/CVE-2014-0475.html

SUSE Linux では、同脆弱性の影響度の大きさから、通常は Long Term Service Pack Support の購入が必要な旧バージョンに対しても特別にセキュリティパッチの提供を行うとの情報が公開されております。

https://www.suse.com/support/shellshock/

Oracle Linux

Oracle Linux
https://oss.oracle.com/pipermail/el-errata/2014-September/004480.html

CentOS

CentOS
http://lists.centos.org/pipermail/centos/2014-September/146099.html

Ubuntu

Ubuntu
http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-6271.html

コミュニティーベースのディストリビューションでは、ディストリビューションが発信する情報量は商用ディストリビューションと比較するとどうしても少なくなりがちです。

追加情報

ShellShock では、後に CVE-2014-7169 の脆弱性も発見され、CVE-2014-6271 と合わせて対策することを推奨されています。また、DoS攻撃の影響を受ける CVE-2014-7186、CVE-2014-7187といった脆弱性もあることから、この機会に運用するサーバーのセキュリティを見直し頂くことを推奨します。

サイオス OSSよろず相談室ではより細かな情報、深い調査が可能です。OSSの運用でお困りの際にはぜひお問い合わせください。