GNU BashにおけるOSコマンドインジェクションの脆弱性
2014年10月27日更新
更新情報
| 2014/10/27 | LS-QVL,LS-VL,LS-WSXL,LS-WVL,LS-WXBL,LS-WXL,LS-XHLシリーズ最新ファームウェア (CVE-2014-6271, CVE-2014-7169を対策)の案内を掲載 |
| 2014/10/24 | ストレージ関連製品、LinkStation調査結果を掲載 |
| 2014/10/21 | TS3000シリーズ調査結果及び最新ファームウェア (CVE-2014-6271, CVE-2014-7169を対策)の案内を掲載 |
| 2014/10/16 | LS400シリーズ調査結果を掲載 |
| 2014/10/15 | TS5200DSシリーズ調査結果及び最新ファームウェア (CVE-2014-6271, CVE-2014-7169を対策)の案内を掲載 |
| 2014/10/14 | TS-2RZ,TS-X,TS-V,TS-IX,LS200シリーズ調査結果及び最新ファームウェア (CVE-2014-6271, CVE-2014-7169を対策)の案内を掲載 |
| 2014/10/7 | Webサーバー機能の停止方法を掲載 |
| 2014/10/6 | TS5000シリーズ調査結果及び最新ファームウェア (CVE-2014-6271, CVE-2014-7169を対策)の案内を掲載 |
| 2014/10/2 | 本ページを公開 |
製品別の影響の有無
| 製品カテゴリ | 影響の有無 | 対処方法 | |
| ネットワーク関連製品 (無線LAN親機、有線ルーター等) |
影響なし | ||
| ストレージ関連製品 (外付けハードディスク/ポータブルハードディスク等) |
HDW-PDU3シリーズ | 影響あり | 対策版ファームウェアを11月上旬公開予定です。 【注意】をご確認ください。 |
| その他 | 影響なし | ||
| デジタルホーム関連製品 (地デジチューナー、HDDレコーダー等) |
影響なし | ||
| NAS関連製品 (TeraStation、Linkstation) |
TS5000シリーズ TS5800D,TS5600D TS5400D,TS5400R TS5200D |
影響あり | Ver.2.73以降のファームウェアをご利用ください。 最新版ファームウェアのダウンロードはこちら |
| TS5200DSシリーズ | 影響あり | Ver.2.54以降のファームウェアをご利用ください。 最新版ファームウェアのダウンロードはこちら |
|
| TS3000シリーズ TS3200D, TS3400D TS3400R |
影響あり | Ver.1.14以降のファームウェアをご利用ください。 最新版ファームウェアのダウンロードはこちら |
|
| TS-2RZシリーズ TS-2RZH,TS-2RZS |
影響あり | Ver.2.42以降のファームウェアをご利用ください。 最新版ファームウェアのダウンロードはこちら |
|
| TS-Xシリーズ TS-WXL,TS-X TS-RXL,TS-XEL TS-XHL |
影響あり | Ver.1.64以降のファームウェアをご利用ください。 最新版ファームウェアのダウンロードはこちら |
|
| TS-Vシリーズ TS-8VHL,TS-6VHL TS-QVHL,TS-WVHL TS-RVHL |
影響あり | Ver.1.22以降のファームウェアをご利用ください。 最新版ファームウェアのダウンロードはこちら |
|
| TS-IXシリーズ TS-IXL,TS-RIXL |
影響なし | 最新版ファームウェアのダウンロードはこちら | |
| LS400シリーズ LS410D, LS420D, LS410DX, LS421D |
影響なし | 最新版ファームウェアのダウンロードはこちら | |
| LS200シリーズ LS210D,LS220D LS220DB |
影響なし | 最新版ファームウェアのダウンロードはこちら | |
| LS-QVL,LS-VL LS-WSXL,LS-WVL LS-WXBL,LS-WXL LS-XHL |
影響あり | Ver.1.69以降のファームウェアをご利用ください。 最新版ファームウェアのダウンロードはこちら |
|
| LS-AVL,LS-CHL LS-SL,LS-XL LS-YL |
影響なし | 最新版ファームウェアのダウンロードはこちら | |
【注意】TeraStation・LinkStation シリーズをお使いの方へ
「WEBサーバ機能を インターネットに公開する設定」 は脆弱性の影響を受ける可能性があります。
WEBサーバ機能を 停止いただくか、インターネットへの公開を停止ください。
Webサーバー機能の停止方法はこちらをご覧ください。
【注意】HDW-PDU3シリーズをお使いの方へ
製品をインターネットモードでアクセスポイントに接続する場合、本脆弱性の影響を受ける可能性があります。悪意を持った攻撃者が、同じアクセスポイントに接続している場合にその脅威がありますので、公衆無線LAN等、身元の不確かなアクセスポイントには製品を接続しないでください。
脆弱性の説明
GNU Bash には、環境変数にシェル関数定義を設定して他のシェルプロセスに渡す機能と、環境変数で設定されたシェル関数定義を取り込む機能が存在します。関数定義に続きシェルコマンドが記述されている形で環境変数が設定されているとき、GNU Bash は関数定義を取り込む際にそのシェルコマンドを実行してしまいます。
脆弱性のもたらす脅威
外部から遠隔でシェルコマンドを実行され不正な遠隔操作からファイルの改ざん、不正プログラムの実行される可能性があります。
参考情報
Japan Vulnerability Notes:JVN#97219505(http://jvn.jp/vu/JVNVU97219505/)