-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2014-0037
                                                             JPCERT/CC
                                                      2014-09-25(新規)
                                                      2014-10-08(更新)

                  <<< JPCERT/CC Alert 2014-09-25 >>>

                   GNU bash の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140037.html

I. 概要

  GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNU
bash の環境変数に設定される環境において、遠隔の第三者によって任意のコー
ドが実行される可能性があります。

** 更新: 2014年9月30日修正 *****************************************
  本脆弱性を使用する攻撃を確認しておりますので、該当するバージョンの 
GNU bash を使用している場合は、「III. 対策」を参考に、至急対策の実施を
検討してください。

  なお、本件に関連して、複数の脆弱性が見つかっています。詳細については
「VI. 検証結果」を参照下さい。

********************************************************************

  なお、本脆弱性を使用する攻撃手法が公開されています。


II. 対象

** 更新: 2014年10月08日修正 ****************************************
  以下のバージョンが本脆弱性の影響を受けます。

  - Bash 4.3 Patch 28 およびそれ以前
  - Bash 4.2 Patch 51 およびそれ以前
  - Bash 4.1 Patch 15 およびそれ以前
  - Bash 4.0 Patch 42 およびそれ以前
  - Bash 3.2 Patch 55 およびそれ以前
  - Bash 3.1 Patch 21 およびそれ以前
  - Bash 3.0 Patch 20 およびそれ以前

  ディストリビュータが提供している bash をお使いの場合は、使用中のディ
ストリビュータの情報を参照してください。

********************************************************************


III. 対策

** 更新: 2014年10月08日修正 ****************************************
  GNU Project から脆弱性を修正したバージョンの GNU bash が公開されてい
ます。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

  修正済みのバージョンは、以下の通りです。

  - Bash 4.3 Patch 29
  - Bash 4.2 Patch 52
  - Bash 4.1 Patch 16
  - Bash 4.0 Patch 43
  - Bash 3.2 Patch 56
  - Bash 3.1 Patch 22
  - Bash 3.0 Patch 21

  また、一部のディストリビュータからは、修正済みのバージョンが提供され
ています。詳細については、使用中のディストリビュータの情報を参照してく
ださい。

  パッチの適用が困難な場合は、以下の回避策の適用を検討してください。

********************************************************************


IV. 回避策

** 更新: 2014年9月30日修正 *****************************************
  - GNU bash を代替のシェルに入れ替える
  - WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける
  - 継続的なシステム監視を行う

********************************************************************


V. 参考情報

    GNU Project
    bug-bash (thread)
    https://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html

    Red Hat, Inc
    Bash specially-crafted environment variables code injection attack
    https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

    Red Hat, Inc
     Resolution for Bash Code Injection  Vulnerability via Specially  Crafted  Environment Variables  (CVE-2014-6271) in Red Hat Enterprise  Linux
    https://access.redhat.com/site/solutions/1207723

    Centos Project
    [CentOS] Critical update for bash released today.
    http://lists.centos.org/pipermail/centos/2014-September/146099.html

    Debian Project
    Debian Security Advisory
    https://www.debian.org/security/2014/dsa-3032

    Ubuntu
    USN-2362-1: Bash vulnerability
    http://www.ubuntu.com/usn/usn-2362-1/

** 更新: 2014年9月26日追記 *****************************************
    Red Hat, Inc
    Important: bash security update
    https://rhn.redhat.com/errata/RHSA-2014-1306.html

    Centos Project
    [CentOS-announce] CESA-2014:1306 Important CentOS 7 bash Security Update
    http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html

    Centos Project
    [CentOS-announce] CESA-2014:1306 Important CentOS 6 bash Security Update
    http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html

    Centos Project
    [CentOS-announce] CESA-2014:1306 Important CentOS 5 bash Security Update
    http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html

    Debian Project
    Debian Security Advisory
    https://www.debian.org/security/2014/dsa-3035

    Ubuntu
    USN-2363-2: Bash vulnerability
    http://www.ubuntu.com/usn/usn-2363-2/

********************************************************************

** 更新: 2014年9月30日追記 *****************************************
    GNU Project
    GNU Project Archives
    http://ftp.gnu.org/gnu/bash/

    Japan Vulnerability Notes JVN#97219505
    GNU Bash に OS コマンドインジェクションの脆弱性
    https://jvn.jp/vu/JVNVU97219505/index.html

********************************************************************

** 更新: 2014年10月08日修正 *****************************************
VI. 検証結果

  なお、JPCERT/CC サイトには、今回の脆弱性に関する検証結果を記載してお
りますので、ご参照ください。

    JPCERT/CC Alert 2014-09-25
    GNU bash の脆弱性に関する注意喚起
    https://www.jpcert.or.jp/at/2014/at140037.html
    ※ 2014年10月08日更新

********************************************************************


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

- - - ----------

改訂履歴
2014-09-25 初版
2014-09-26 概要、対策、および参考情報を更新
2014-09-30 概要、対象、対策、回避策、参考情報および検証結果を更新
2014-10-02 対象、対策および検証結果を更新
2014-10-03 検証結果を更新
2014-10-08 対象、対策、および検証結果を更新

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJUNNwcAAoJEDF9l6Rp7OBIwkgH/1znZnWPV97nobN6fd396UQg
r1DXtA6S+DXqjA+P/RN1yq3aUat6u3c4TjbAxk0vIkEyVNrlijsJQ9OAtJib3xTu
QLxCTaEy2ctH9F+kjmm0Qnu+bZsDyvCS9i/ZB7DZu8gy9WMpAeovivAGASOEty3Q
xRjpoa4qURwBee1MMgIizhW44jE1vT7G3hNEDj2T7jqRzNsYTtAybcGg5gLnNEoh
/QdiJ7QGIEV4ZPiW1OdvsEmwYMqo8lyMZbGAyHP6B2AbV+SiU/6fK074mR7f9nbq
4VR3VkUrm7ud8+JFQgiSOebQkufUDtMhrfUZQAIRLQwwD8naowG5IU4i1CqyZD8=
=ema3
-----END PGP SIGNATURE-----