Shoeisha Technology Media

CodeZine(コードジン)

記事種別から探す

JPCERT/CC、「GNU bashの脆弱性に関する注意喚起」を発行、修正パッチにも不具合が見つかる

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2014/09/26 12:09

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は9月25日、「GNU bashの脆弱性に関する注意喚起」を発行。先に公開された修正パッチも対応不十分であるため、システム管理者にいっそうの警戒と対応を呼びかけている。

 今回発表された脆弱性(CVE-2014-6271)は、外部からの入力がGNU bashの環境変数に設定される環境において、遠隔の第三者によって任意のコードが実行される可能性があるというもの。この脆弱性には修正パッチが発行されたが、他の脆弱性(CVE-2014-7169)がパッチの発行後に判明した。そのため、依然として脆弱性の影響を受ける恐れがあるといい、この脆弱性を突く攻撃手法も公開されているという。

 JPCERT/CCでは、脆弱性CVE-2014-6271向けのパッチ(下記)の適用と、「GNU bash を代替のシェルに入れ替える」「WAF(Webアプリケーションファイアウォール)やIDS(侵入検知システム)を用いて脆弱性のあるサービスへの入力にフィルタをかける」「継続的なシステム監視を行う」などの攻撃回避策をとるよう求めている。

バージョンごとの修正パッチ(脆弱性CVE-2014-6271向け)
・Bash 4.3 Patch 25
・Bash 4.2 Patch 48
・Bash 4.1 Patch 12
・Bash 4.0 Patch 39
・Bash 3.2 Patch 52
・Bash 3.1 Patch 18
・Bash 3.0 Patch 17

 なお、JPCERT/CCでは、脆弱性(CVE-2014-7169)の修正パッチが発行されるなどの動きがあれば情報を提供すると述べている。

【関連リンク】
JVN「GNU bash の脆弱性に関する注意喚起」
一般社団法人JPCERTコーディネーションセンター

  • LINEで送る
  • このエントリーをはてなブックマークに追加

おすすめ記事

All contents copyright © 2006-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5