JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2014 > GNU bash の脆弱性に関する注意喚起

最終更新: 2014-10-08

GNU bash の脆弱性に関する注意喚起


各位

                                                   JPCERT-AT-2014-0037
                                                             JPCERT/CC
                                                      2014-09-25(新規)
                                                      2014-10-08(更新)

                  <<< JPCERT/CC Alert 2014-09-25 >>>

                   GNU bash の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140037.html

I. 概要

  GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNU
bash の環境変数に設定される環境において、遠隔の第三者によって任意のコー
ドが実行される可能性があります。

** 更新: 2014年9月30日修正 *****************************************
  本脆弱性を使用する攻撃を確認しておりますので、該当するバージョンの 
GNU bash を使用している場合は、「III. 対策」を参考に、至急対策の実施を
検討してください。

  なお、本件に関連して、複数の脆弱性が見つかっています。詳細については
「VI. 検証結果」を参照下さい。

********************************************************************

  なお、本脆弱性を使用する攻撃手法が公開されています。


II. 対象

** 更新: 2014年10月08日修正 ****************************************
  以下のバージョンが本脆弱性の影響を受けます。

  - Bash 4.3 Patch 28 およびそれ以前
  - Bash 4.2 Patch 51 およびそれ以前
  - Bash 4.1 Patch 15 およびそれ以前
  - Bash 4.0 Patch 42 およびそれ以前
  - Bash 3.2 Patch 55 およびそれ以前
  - Bash 3.1 Patch 21 およびそれ以前
  - Bash 3.0 Patch 20 およびそれ以前

  ディストリビュータが提供している bash をお使いの場合は、使用中のディ
ストリビュータの情報を参照してください。

********************************************************************


III. 対策

** 更新: 2014年10月08日修正 ****************************************
  GNU Project から脆弱性を修正したバージョンの GNU bash が公開されてい
ます。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

  修正済みのバージョンは、以下の通りです。

  - Bash 4.3 Patch 29
  - Bash 4.2 Patch 52
  - Bash 4.1 Patch 16
  - Bash 4.0 Patch 43
  - Bash 3.2 Patch 56
  - Bash 3.1 Patch 22
  - Bash 3.0 Patch 21

  また、一部のディストリビュータからは、修正済みのバージョンが提供され
ています。詳細については、使用中のディストリビュータの情報を参照してく
ださい。

  パッチの適用が困難な場合は、以下の回避策の適用を検討してください。

********************************************************************


IV. 回避策

** 更新: 2014年9月30日修正 *****************************************
  - GNU bash を代替のシェルに入れ替える
  - WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける
  - 継続的なシステム監視を行う

********************************************************************


V. 参考情報

    GNU Project
    bug-bash (thread)
    https://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html

    Red Hat, Inc
    Bash specially-crafted environment variables code injection attack
    https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

    Red Hat, Inc
     Resolution for Bash Code Injection  Vulnerability via Specially  Crafted  Environment Variables  (CVE-2014-6271) in Red Hat Enterprise  Linux
    https://access.redhat.com/site/solutions/1207723

    Centos Project
    [CentOS] Critical update for bash released today.
    http://lists.centos.org/pipermail/centos/2014-September/146099.html

    Debian Project
    Debian Security Advisory
    https://www.debian.org/security/2014/dsa-3032

    Ubuntu
    USN-2362-1: Bash vulnerability
    http://www.ubuntu.com/usn/usn-2362-1/

** 更新: 2014年9月26日追記 *****************************************
    Red Hat, Inc
    Important: bash security update
    https://rhn.redhat.com/errata/RHSA-2014-1306.html

    Centos Project
    [CentOS-announce] CESA-2014:1306 Important CentOS 7 bash Security Update
    http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html

    Centos Project
    [CentOS-announce] CESA-2014:1306 Important CentOS 6 bash Security Update
    http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html

    Centos Project
    [CentOS-announce] CESA-2014:1306 Important CentOS 5 bash Security Update
    http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html

    Debian Project
    Debian Security Advisory
    https://www.debian.org/security/2014/dsa-3035

    Ubuntu
    USN-2363-2: Bash vulnerability
    http://www.ubuntu.com/usn/usn-2363-2/

********************************************************************

** 更新: 2014年9月30日追記 *****************************************
    GNU Project
    GNU Project Archives
    http://ftp.gnu.org/gnu/bash/

    Japan Vulnerability Notes JVN#97219505
    GNU Bash に OS コマンドインジェクションの脆弱性
    https://jvn.jp/vu/JVNVU97219505/index.html

********************************************************************

** 更新: 2014年10月08日修正 *****************************************
VI. 検証結果

  検証環境:CentOS 6.4
  GNU bash:4.3系(GNU が配布する bash ソースファイルをコンパイル)



表1 脆弱性の検証結果
CVE番号 想定される影響 検証結果
4.3.24 4.3.25 4.3.26 4.3.27 4.3.28 4.3.29 (参考)ディストリビュータにより配布されているバージョン
(CentOS 6.4)
CVE-2014-6271 任意のコードの実行 ×
CVE-2014-7169 任意のコードの実行 × ×
CVE-2014-7186 サービス運用妨害(DoS) × × × ×
CVE-2014-7187 サービス運用妨害(DoS) × × × ×
CVE-2014-6277 サービス運用妨害(DoS) × × ×
CVE-2014-6278 任意のコードの実行 × × ×
○脆弱性の影響を受けないことを確認 ×脆弱性の影響を受けることを確認 △遠隔からは当該脆弱性の影響を受けないが、ローカル端末では影響を受けることを確認 ******************************************************************** 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 - - - ---------- 改訂履歴 2014-09-25 初版 2014-09-26 概要、対策、および参考情報を更新 2014-09-30 概要、対象、対策、回避策、参考情報および検証結果を更新 2014-10-02 対象、対策および検証結果を更新 2014-10-03 検証結果を更新 2014-10-08 対象、対策、および検証結果を更新 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english