各位
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
I. 概要
GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNUbash の環境変数に設定される環境において、遠隔の第三者によって任意のコードが実行される可能性があります。
** 更新: 2014年9月30日修正 ****************
本脆弱性を使用する攻撃を確認しておりますので、該当するバージョンの
GNU bash を使用している場合は、「III. 対策」を参考に、至急対策の実施を検討してください。
なお、本件に関連して、複数の脆弱性が見つかっています。詳細については「VI. 検証結果」を参照下さい。
**************************************************
なお、本脆弱性を使用する攻撃手法が公開されています。
II. 対象
** 更新: 2014年10月08日修正 ****************
以下のバージョンが本脆弱性の影響を受けます。
- Bash 4.3 Patch 28 およびそれ以前
- Bash 4.2 Patch 51 およびそれ以前
- Bash 4.1 Patch 15 およびそれ以前
- Bash 4.0 Patch 42 およびそれ以前
- Bash 3.2 Patch 55 およびそれ以前
- Bash 3.1 Patch 21 およびそれ以前
- Bash 3.0 Patch 20 およびそれ以前
ディストリビュータが提供している bash をお使いの場合は、使用中のディストリビュータの情報を参照してください。
**************************************************
III. 対策
** 更新: 2014年10月08日修正 ****************
GNU Project から脆弱性を修正したバージョンの GNU bash が公開されています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。
修正済みのバージョンは、以下の通りです。
- Bash 4.3 Patch 29
- Bash 4.2 Patch 52
- Bash 4.1 Patch 16
- Bash 4.0 Patch 43
- Bash 3.2 Patch 56
- Bash 3.1 Patch 22
- Bash 3.0 Patch 21
また、一部のディストリビュータからは、修正済みのバージョンが提供されています。詳細については、使用中のディストリビュータの情報を参照してください。
パッチの適用が困難な場合は、以下の回避策の適用を検討してください。
**************************************************
IV. 回避策
** 更新: 2014年9月30日修正 ****************
- GNU bash を代替のシェルに入れ替える
- WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける
- 継続的なシステム監視を行う
**************************************************
V. 参考情報
GNU Project
bug-bash (thread)
https://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html
Red Hat, Inc
Bash specially-crafted environment variables code injection attack
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
Red Hat, Inc
Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux
https://access.redhat.com/site/solutions/1207723
Centos Project
[CentOS] Critical update for bash released today.
http://lists.centos.org/pipermail/centos/2014-September/146099.html
Debian Project
Debian Security Advisory
https://www.debian.org/security/2014/dsa-3032
Ubuntu
USN-2362-1: Bash vulnerability
http://www.ubuntu.com/usn/usn-2362-1/
** 更新: 2014年9月26日追記 ****************
Red Hat, Inc
Important: bash security update
https://rhn.redhat.com/errata/RHSA-2014-1306.html
Centos Project
[CentOS-announce] CESA-2014:1306 Important CentOS 7 bash Security Update
http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html
Centos Project
[CentOS-announce] CESA-2014:1306 Important CentOS 6 bash Security Update
http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html
Centos Project
[CentOS-announce] CESA-2014:1306 Important CentOS 5 bash Security Update
http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html
Debian Project
Debian Security Advisory
https://www.debian.org/security/2014/dsa-3035
Ubuntu
USN-2363-2: Bash vulnerability
http://www.ubuntu.com/usn/usn-2363-2/
**************************************************
** 更新: 2014年9月30日追記 ****************
GNU Project
GNU Project Archives
http://ftp.gnu.org/gnu/bash/
Japan Vulnerability Notes JVN#97219505
GNU Bash に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97219505/index.html
**************************************************
** 更新: 2014年10月08日修正 ****************
VI. 検証結果
なお、JPCERT/CC サイトには、今回の脆弱性に関する検証結果を記載しておりますので、ご参照ください。
JPCERT/CC Alert 2014-09-25
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
※ 2014年10月08日更新
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
- - - ----------
改訂履歴2014-09-25 初版2014-09-26 概要、対策、および参考情報を更新2014-09-30 概要、対象、対策、回避策、参考情報および検証結果を更新2014-10-02 対象、対策および検証結果を更新2014-10-03 検証結果を更新2014-10-08 対象、対策、および検証結果を更新
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2014-0037
JPCERT/CC
2014-09-25(新規)
2014-10-08(更新)
JPCERT/CC Alert 2014-09-25
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
I. 概要
GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNUbash の環境変数に設定される環境において、遠隔の第三者によって任意のコードが実行される可能性があります。
** 更新: 2014年9月30日修正 ****************
本脆弱性を使用する攻撃を確認しておりますので、該当するバージョンの
GNU bash を使用している場合は、「III. 対策」を参考に、至急対策の実施を検討してください。
なお、本件に関連して、複数の脆弱性が見つかっています。詳細については「VI. 検証結果」を参照下さい。
**************************************************
なお、本脆弱性を使用する攻撃手法が公開されています。
II. 対象
** 更新: 2014年10月08日修正 ****************
以下のバージョンが本脆弱性の影響を受けます。
- Bash 4.3 Patch 28 およびそれ以前
- Bash 4.2 Patch 51 およびそれ以前
- Bash 4.1 Patch 15 およびそれ以前
- Bash 4.0 Patch 42 およびそれ以前
- Bash 3.2 Patch 55 およびそれ以前
- Bash 3.1 Patch 21 およびそれ以前
- Bash 3.0 Patch 20 およびそれ以前
ディストリビュータが提供している bash をお使いの場合は、使用中のディストリビュータの情報を参照してください。
**************************************************
III. 対策
** 更新: 2014年10月08日修正 ****************
GNU Project から脆弱性を修正したバージョンの GNU bash が公開されています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。
修正済みのバージョンは、以下の通りです。
- Bash 4.3 Patch 29
- Bash 4.2 Patch 52
- Bash 4.1 Patch 16
- Bash 4.0 Patch 43
- Bash 3.2 Patch 56
- Bash 3.1 Patch 22
- Bash 3.0 Patch 21
また、一部のディストリビュータからは、修正済みのバージョンが提供されています。詳細については、使用中のディストリビュータの情報を参照してください。
パッチの適用が困難な場合は、以下の回避策の適用を検討してください。
**************************************************
IV. 回避策
** 更新: 2014年9月30日修正 ****************
- GNU bash を代替のシェルに入れ替える
- WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける
- 継続的なシステム監視を行う
**************************************************
V. 参考情報
GNU Project
bug-bash (thread)
https://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html
Red Hat, Inc
Bash specially-crafted environment variables code injection attack
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
Red Hat, Inc
Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux
https://access.redhat.com/site/solutions/1207723
Centos Project
[CentOS] Critical update for bash released today.
http://lists.centos.org/pipermail/centos/2014-September/146099.html
Debian Project
Debian Security Advisory
https://www.debian.org/security/2014/dsa-3032
Ubuntu
USN-2362-1: Bash vulnerability
http://www.ubuntu.com/usn/usn-2362-1/
** 更新: 2014年9月26日追記 ****************
Red Hat, Inc
Important: bash security update
https://rhn.redhat.com/errata/RHSA-2014-1306.html
Centos Project
[CentOS-announce] CESA-2014:1306 Important CentOS 7 bash Security Update
http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html
Centos Project
[CentOS-announce] CESA-2014:1306 Important CentOS 6 bash Security Update
http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html
Centos Project
[CentOS-announce] CESA-2014:1306 Important CentOS 5 bash Security Update
http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html
Debian Project
Debian Security Advisory
https://www.debian.org/security/2014/dsa-3035
Ubuntu
USN-2363-2: Bash vulnerability
http://www.ubuntu.com/usn/usn-2363-2/
**************************************************
** 更新: 2014年9月30日追記 ****************
GNU Project
GNU Project Archives
http://ftp.gnu.org/gnu/bash/
Japan Vulnerability Notes JVN#97219505
GNU Bash に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97219505/index.html
**************************************************
** 更新: 2014年10月08日修正 ****************
VI. 検証結果
なお、JPCERT/CC サイトには、今回の脆弱性に関する検証結果を記載しておりますので、ご参照ください。
JPCERT/CC Alert 2014-09-25
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
※ 2014年10月08日更新
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
- - - ----------
改訂履歴2014-09-25 初版2014-09-26 概要、対策、および参考情報を更新2014-09-30 概要、対象、対策、回避策、参考情報および検証結果を更新2014-10-02 対象、対策および検証結果を更新2014-10-03 検証結果を更新2014-10-08 対象、対策、および検証結果を更新
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
