一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は9月25日、「GNU bashの脆弱性に関する注意喚起」を発行。先に公開された修正パッチも対応不十分であるため、システム管理者にいっそうの警戒と対応を呼びかけている。
今回発表された脆弱性(CVE-2014-6271)は、外部からの入力がGNU bashの環境変数に設定される環境において、遠隔の第三者によって任意のコードが実行される可能性があるというもの。この脆弱性には修正パッチが発行されたが、他の脆弱性(CVE-2014-7169)がパッチの発行後に判明した。そのため、依然として脆弱性の影響を受ける恐れがあるといい、この脆弱性を突く攻撃手法も公開されているという。
JPCERT/CCでは、脆弱性CVE-2014-6271向けのパッチ(下記)の適用と、「GNU bash を代替のシェルに入れ替える」「WAF(Webアプリケーションファイアウォール)やIDS(侵入検知システム)を用いて脆弱性のあるサービスへの入力にフィルタをかける」「継続的なシステム監視を行う」などの攻撃回避策をとるよう求めている。
バージョンごとの修正パッチ(脆弱性CVE-2014-6271向け)
・Bash 4.3 Patch 25
・Bash 4.2 Patch 48
・Bash 4.1 Patch 12
・Bash 4.0 Patch 39
・Bash 3.2 Patch 52
・Bash 3.1 Patch 18
・Bash 3.0 Patch 17
なお、JPCERT/CCでは、脆弱性(CVE-2014-7169)の修正パッチが発行されるなどの動きがあれば情報を提供すると述べている。
【関連リンク】
・JVN「GNU bash の脆弱性に関する注意喚起」
・一般社団法人JPCERTコーディネーションセンター
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
