HOME情報セキュリティ更新:bash の脆弱性対策について(CVE-2014-6271 等)

本文を印刷する

情報セキュリティ

更新:bash の脆弱性対策について(CVE-2014-6271 等)

最終更新日:2014年10月28日

※追記・改訂すべき情報がある場合には、その都度このページを更新する予定です。

概要

GNU Project が提供する bash は、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェル(OS の一部としてプログラムの起動や制御などを行うプログラム)です。

bash に任意の OS コマンドを実行される脆弱性 (CVE-2014-6271) が発見され、2014 年 9 月 24 日に修正パッチが公開されました。

ただし、CVE-2014-6271への修正が不十分であるという情報があります。その修正が不十分であることによる脆弱性 (CVE-2014-7169) に対応したアップデートまたはパッチも各ベンダから順次公開されています。

bash を使用して OS コマンドを実行するアプリケーションを介して、遠隔から任意の OS コマンドを実行される可能性があります。


図:脆弱性を悪用した攻撃のイメージ

警察庁によると本脆弱性を標的としたアクセスが観測されています。これらの脆弱性が対策されているバージョンへのアップデートや回避策を至急実施してください。

9/29 12:00 更新
トレンドマイクロ社などによると、本脆弱性を悪用するマルウェアが登場しています。Linux など UNIX 系の OS が搭載されたサーバまたは機器をご利用の場合は、以下の情報を確認して対策を実施してください。

影響を受けるバージョン

  • bash 4.3 Official Patch 25 およびそれ以前
  • bash 4.2 Official Patch 48 およびそれ以前
  • bash 4.1 Official Patch 12 およびそれ以前
  • bash 4.0 Official Patch 39 およびそれ以前
  • bash 3.2 Official Patch 52 およびそれ以前
  • bash 3.1 Official Patch 18 およびそれ以前
  • bash 3.0 Official Patch 17 およびそれ以前

攻撃を受ける可能性があるアプリケーション(製品)

上記のバージョンの bash を使用して OS コマンドを実行するアプリケーションをネットワーク上に公開または接続している場合に攻撃を受ける可能性があります。以下に想定されるアプリケーション(製品)のを示します。

(1) ウェブアプリケーション

ウェブアプリケーションが CGI から OS のコマンドを実行している場合、攻撃の影響を受ける可能性があります。ウェブアプリケーションを公開している企業・組織は、ウェブアプリケーションの開発担当部署または開発した業者に、影響の有無を確認してください。

(2) Linux ベースの組み込み機器

ネットワーク機器などアプライアンスと呼ばれる Linux ベースの製品は、ウェブインターフェースなどを介して攻撃を受ける可能性があります。今後、製品ベンダによる対策情報の公開有無を確認してください。

10/2 15:00 更新
無線 LAN ルータや NAS (Network Attached Storage:ネットワーク接続できる HDD 機器) などの家庭内の機器も攻撃を受ける可能性があります。今後、製品ベンダによる対策情報の公開有無を確認してください。

各メーカ / ベンダの情報

JPCERT/CC と CERT/CC の取り組みによって集められた一部の各メーカ / ベンダの情報は、以下のページから確認できます。

各メーカ / ベンダは、Linux ベースの製品における「bash を使用して OS コマンドを実行」する実装の有無を確認し、必要に応じて公表やアップデートの提供などの実施を検討してください。


10/28 12:00 更新


今後も製品開発者より対策情報が公開される可能性があります。

対策

以下のいずれかを実施してください。

本脆弱性(識別番号 CVE-2014-6271 および CVE-2014-7169)に対応したアップデートが提供されていますので速やかに適用してください。

9/29 12:00 更新
NVD の情報 CVE-2014-6277 によると、本脆弱性に対する CVE-2014-6271 および CVE-2014-7169 での修正が不十分である可能性があります。現時点で公開や提供されている対策を実施した上で、今後も各製品ベンダが提供する情報を継続的に確認してください。

(1) 脆弱性の解消 - アップデート

Linux の場合、利用するディストリビュータが提供する情報をもとに、bash を最新バージョンにアップデートしてください。

Red Hat:
https://rhn.redhat.com/errata/RHSA-2014-1293.html(CVE-2014-6271)
https://rhn.redhat.com/errata/RHSA-2014-1306.html(CVE-2014-7169)
https://access.redhat.com/ja/articles/1210893
CentOS:
http://lists.centos.org/pipermail/centos/2014-September/146099.html
Debian:
https://www.debian.org/security/2014/dsa-3032(CVE-2014-6271)
https://www.debian.org/security/2014/dsa-3035(CVE-2014-7169)
Ubuntu:
http://www.ubuntu.com/usn/usn-2362-1/(CVE-2014-6271)
http://www.ubuntu.com/usn/usn-2363-2/(CVE-2014-7169)

Linux ベースの組み込み機器などその他の製品の場合、各製品が提供する情報をもとに、最新バージョンにアップデートしてください。

9/29 12:00 更新
各製品ベンダが、製品に対する影響有無などの情報を公開しはじめています。利用する製品のベンダの情報をご確認ください。

(2) パッチの適用

GNU Project が提供する情報をもとに、bash にパッチを適用してください。なお、2014年9月26日13:00時点では、CVE-2014-7169 に対応するパッチは公開されていませんでした。

9/29 12:00 更新
CVE-2014-7169 に対応するパッチが公開されました。

http://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html

上記の対策が困難な場合

以下の対応を検討して実施してください。

  • フィルタリング(WAF や iptables を用いるなど)
  • アクセス制限(ネットワーク機器を用いるなど)
  • 可能な場合、一時的な公開停止

以下の参考情報にも対策について記載がありますので、確認してください。

参考情報

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2014年10月28日
12:00
攻撃を受ける可能性があるアプリケーション(製品):追記
2014年10月2日
15:00
影響を受けるバージョン:「攻撃を受ける可能性があるアプリケーション(製品)」を別項目に分離
攻撃を受ける可能性があるアプリケーション(製品):追記
2014年9月30日
15:00
概要:誤字・脱字を修正
2014年9月29日
12:00
概要:追記
対策:追記(冒頭、(1)脆弱性の解消 - アップデート、(2)パッチの提供)
参考情報:追加
2014年9月26日 掲載