各位 JPCERT-AT-2014-0037 JPCERT/CC 2014-09-25(新規) 2014-10-08(更新) <<< JPCERT/CC Alert 2014-09-25 >>> GNU bash の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140037.html I. 概要 GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNU bash の環境変数に設定される環境において、遠隔の第三者によって任意のコー ドが実行される可能性があります。 ** 更新: 2014年9月30日修正 ***************************************** 本脆弱性を使用する攻撃を確認しておりますので、該当するバージョンの GNU bash を使用している場合は、「III. 対策」を参考に、至急対策の実施を 検討してください。 なお、本件に関連して、複数の脆弱性が見つかっています。詳細については 「VI. 検証結果」を参照下さい。 ******************************************************************** なお、本脆弱性を使用する攻撃手法が公開されています。 II. 対象 ** 更新: 2014年10月08日修正 **************************************** 以下のバージョンが本脆弱性の影響を受けます。 - Bash 4.3 Patch 28 およびそれ以前 - Bash 4.2 Patch 51 およびそれ以前 - Bash 4.1 Patch 15 およびそれ以前 - Bash 4.0 Patch 42 およびそれ以前 - Bash 3.2 Patch 55 およびそれ以前 - Bash 3.1 Patch 21 およびそれ以前 - Bash 3.0 Patch 20 およびそれ以前 ディストリビュータが提供している bash をお使いの場合は、使用中のディ ストリビュータの情報を参照してください。 ******************************************************************** III. 対策 ** 更新: 2014年10月08日修正 **************************************** GNU Project から脆弱性を修正したバージョンの GNU bash が公開されてい ます。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。 修正済みのバージョンは、以下の通りです。 - Bash 4.3 Patch 29 - Bash 4.2 Patch 52 - Bash 4.1 Patch 16 - Bash 4.0 Patch 43 - Bash 3.2 Patch 56 - Bash 3.1 Patch 22 - Bash 3.0 Patch 21 また、一部のディストリビュータからは、修正済みのバージョンが提供され ています。詳細については、使用中のディストリビュータの情報を参照してく ださい。 パッチの適用が困難な場合は、以下の回避策の適用を検討してください。 ******************************************************************** IV. 回避策 ** 更新: 2014年9月30日修正 ***************************************** - GNU bash を代替のシェルに入れ替える - WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける - 継続的なシステム監視を行う ******************************************************************** V. 参考情報 GNU Project bug-bash (thread) https://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html Red Hat, Inc Bash specially-crafted environment variables code injection attack https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ Red Hat, Inc Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) in Red Hat Enterprise Linux https://access.redhat.com/site/solutions/1207723 Centos Project [CentOS] Critical update for bash released today. http://lists.centos.org/pipermail/centos/2014-September/146099.html Debian Project Debian Security Advisory https://www.debian.org/security/2014/dsa-3032 Ubuntu USN-2362-1: Bash vulnerability http://www.ubuntu.com/usn/usn-2362-1/ ** 更新: 2014年9月26日追記 ***************************************** Red Hat, Inc Important: bash security update https://rhn.redhat.com/errata/RHSA-2014-1306.html Centos Project [CentOS-announce] CESA-2014:1306 Important CentOS 7 bash Security Update http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html Centos Project [CentOS-announce] CESA-2014:1306 Important CentOS 6 bash Security Update http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html Centos Project [CentOS-announce] CESA-2014:1306 Important CentOS 5 bash Security Update http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html Debian Project Debian Security Advisory https://www.debian.org/security/2014/dsa-3035 Ubuntu USN-2363-2: Bash vulnerability http://www.ubuntu.com/usn/usn-2363-2/ ******************************************************************** ** 更新: 2014年9月30日追記 ***************************************** GNU Project GNU Project Archives http://ftp.gnu.org/gnu/bash/ Japan Vulnerability Notes JVN#97219505 GNU Bash に OS コマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU97219505/index.html ******************************************************************** ** 更新: 2014年10月08日修正 ***************************************** VI. 検証結果 検証環境:CentOS 6.4 GNU bash:4.3系(GNU が配布する bash ソースファイルをコンパイル) 表1 脆弱性の検証結果
CVE番号 | 想定される影響 | 検証結果 | ||||||
4.3.24 | 4.3.25 | 4.3.26 | 4.3.27 | 4.3.28 | 4.3.29 | (参考)ディストリビュータにより配布されているバージョン (CentOS 6.4) |
||
CVE-2014-6271 | 任意のコードの実行 | × | ○ | ○ | ○ | ○ | ○ | ○ |
CVE-2014-7169 | 任意のコードの実行 | × | × | ○ | ○ | ○ | ○ | ○ |
CVE-2014-7186 | サービス運用妨害(DoS) | × | × | × | × | ○ | ○ | ○ |
CVE-2014-7187 | サービス運用妨害(DoS) | × | × | × | × | ○ | ○ | ○ |
CVE-2014-6277 | サービス運用妨害(DoS) | × | × | × | △ | △ | ○ | ○ |
CVE-2014-6278 | 任意のコードの実行 | × | × | × | ○ | ○ | ○ | ○ |