GNU bash の脆弱性に関する注意喚起

各位

                                                   JPCERT-AT-2014-0037
                                                             JPCERT/CC
                                                      2014-09-25(新規)
                                                      2014-10-08(更新)

                  <<< JPCERT/CC Alert 2014-09-25 >>>

                   GNU bash の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140037.html

I. 概要

  GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNU
bash の環境変数に設定される環境において、遠隔の第三者によって任意のコー
ドが実行される可能性があります。

** 更新: 2014年9月30日修正 *****************************************
  本脆弱性を使用する攻撃を確認しておりますので、該当するバージョンの 
GNU bash を使用している場合は、「III. 対策」を参考に、至急対策の実施を
検討してください。

  なお、本件に関連して、複数の脆弱性が見つかっています。詳細については
「VI. 検証結果」を参照下さい。

********************************************************************

  なお、本脆弱性を使用する攻撃手法が公開されています。


II. 対象

** 更新: 2014年10月08日修正 ****************************************
  以下のバージョンが本脆弱性の影響を受けます。

  - Bash 4.3 Patch 28 およびそれ以前
  - Bash 4.2 Patch 51 およびそれ以前
  - Bash 4.1 Patch 15 およびそれ以前
  - Bash 4.0 Patch 42 およびそれ以前
  - Bash 3.2 Patch 55 およびそれ以前
  - Bash 3.1 Patch 21 およびそれ以前
  - Bash 3.0 Patch 20 およびそれ以前

  ディストリビュータが提供している bash をお使いの場合は、使用中のディ
ストリビュータの情報を参照してください。

********************************************************************


III. 対策

** 更新: 2014年10月08日修正 ****************************************
  GNU Project から脆弱性を修正したバージョンの GNU bash が公開されてい
ます。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

  修正済みのバージョンは、以下の通りです。

  - Bash 4.3 Patch 29
  - Bash 4.2 Patch 52
  - Bash 4.1 Patch 16
  - Bash 4.0 Patch 43
  - Bash 3.2 Patch 56
  - Bash 3.1 Patch 22
  - Bash 3.0 Patch 21

  また、一部のディストリビュータからは、修正済みのバージョンが提供され
ています。詳細については、使用中のディストリビュータの情報を参照してく
ださい。

  パッチの適用が困難な場合は、以下の回避策の適用を検討してください。

********************************************************************


IV. 回避策

** 更新: 2014年9月30日修正 *****************************************
  - GNU bash を代替のシェルに入れ替える
  - WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける
  - 継続的なシステム監視を行う

********************************************************************


V. 参考情報

    GNU Project
    bug-bash (thread)
    https://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html

    Red Hat, Inc
    Bash specially-crafted environment variables code injection attack
    https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

    Red Hat, Inc
     Resolution for Bash Code Injection  Vulnerability via Specially  Crafted  Environment Variables  (CVE-2014-6271) in Red Hat Enterprise  Linux
    https://access.redhat.com/site/solutions/1207723

    Centos Project
    [CentOS] Critical update for bash released today.
    http://lists.centos.org/pipermail/centos/2014-September/146099.html

    Debian Project
    Debian Security Advisory
    https://www.debian.org/security/2014/dsa-3032

    Ubuntu
    USN-2362-1: Bash vulnerability
    http://www.ubuntu.com/usn/usn-2362-1/

** 更新: 2014年9月26日追記 *****************************************
    Red Hat, Inc
    Important: bash security update
    https://rhn.redhat.com/errata/RHSA-2014-1306.html

    Centos Project
    [CentOS-announce] CESA-2014:1306 Important CentOS 7 bash Security Update
    http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html

    Centos Project
    [CentOS-announce] CESA-2014:1306 Important CentOS 6 bash Security Update
    http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html

    Centos Project
    [CentOS-announce] CESA-2014:1306 Important CentOS 5 bash Security Update
    http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html

    Debian Project
    Debian Security Advisory
    https://www.debian.org/security/2014/dsa-3035

    Ubuntu
    USN-2363-2: Bash vulnerability
    http://www.ubuntu.com/usn/usn-2363-2/

********************************************************************

** 更新: 2014年9月30日追記 *****************************************
    GNU Project
    GNU Project Archives
    http://ftp.gnu.org/gnu/bash/

    Japan Vulnerability Notes JVN#97219505
    GNU Bash に OS コマンドインジェクションの脆弱性
    https://jvn.jp/vu/JVNVU97219505/index.html

********************************************************************

** 更新: 2014年10月08日修正 *****************************************
VI. 検証結果

  検証環境：CentOS 6.4
  GNU bash:4.3系(GNU が配布する bash ソースファイルをコンパイル)



表1 脆弱性の検証結果


    CVE番号
    想定される影響
    検証結果



    4.3.24
    4.3.25
    4.3.26
    4.3.27
    4.3.28
    4.3.29
    (参考)ディストリビュータにより配布されているバージョン
(CentOS 6.4)



    CVE-2014-6271
    任意のコードの実行
    ×
    ○
    ○
    ○
    ○
    ○
    ○



    CVE-2014-7169
    任意のコードの実行
    ×
    ×
    ○
    ○
    ○
    ○
    ○



    CVE-2014-7186
    サービス運用妨害(DoS)
    ×
    ×
    ×
    ×
    ○
    ○
    ○



    CVE-2014-7187
    サービス運用妨害(DoS)
    ×
    ×
    ×
    ×
    ○
    ○
    ○



    CVE-2014-6277
    サービス運用妨害(DoS)
    ×
    ×
    ×
    △
    △
    ○
    ○



    CVE-2014-6278
    任意のコードの実行
    ×
    ×
    ×
    ○
    ○
    ○
    ○





○脆弱性の影響を受けないことを確認
×脆弱性の影響を受けることを確認
△遠隔からは当該脆弱性の影響を受けないが、ローカル端末では影響を受けることを確認


********************************************************************


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

- - - ----------

改訂履歴
2014-09-25 初版
2014-09-26 概要、対策、および参考情報を更新
2014-09-30 概要、対象、対策、回避策、参考情報および検証結果を更新
2014-10-02 対象、対策および検証結果を更新
2014-10-03 検証結果を更新
2014-10-08 対象、対策、および検証結果を更新

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
CVE番号	想定される影響	検証結果
CVE番号	想定される影響	4.3.24	4.3.25	4.3.26	4.3.27	4.3.28	4.3.29	(参考)ディストリビュータにより配布されているバージョン (CentOS 6.4)
CVE-2014-6271	任意のコードの実行	×	○	○	○	○	○	○
CVE-2014-7169	任意のコードの実行	×	×	○	○	○	○	○
CVE-2014-7186	サービス運用妨害(DoS)	×	×	×	×	○	○	○
CVE-2014-7187	サービス運用妨害(DoS)	×	×	×	×	○	○	○
CVE-2014-6277	サービス運用妨害(DoS)	×	×	×	△	△	○	○
CVE-2014-6278	任意のコードの実行	×	×	×	○	○	○	○