BLOGTIMES
2014/09/25

bash に深刻な脆弱性、今後の続報にも注意(CVE-2014-6271)

  cve  jpcertcc  rhel 
このエントリーをはてなブックマークに追加

bash に深刻な脆弱性CVE-2014-6271*1*2)が見つかったということで、朝から各所で大騒ぎになっています。

GNU bash の脆弱性に関する注意喚起

GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNU bash の環境変数に設定される環境において、遠隔の第三者によって任意のコードが実行される可能性があります。本脆弱性を修正するパッチが公開されましたが、修正が不十分であるとの指摘がでており、依然として影響を受ける可能性がありますので、該当するバージョンの GNU bash を使用している場合は、「IV. 回避策」を参考に、至急修正パッチを適用のうえ、回避策の実施を検討してください。

環境変数が bash に渡ってしまうとアウトなので、直接的に bash を使っていなくとも CGI などで少しでも bash を経由するとアウトというのが痛いところです。Linux の場合は sh が bash へのリンクになっているので sh を使っているとこちらもアウト。環境変数は汚染された文字列であるということを再確認させてくれる事象です。環境変数の処理の問題の具体的な例については以下の RedHat のサイトで詳しく解説がなされています。

RedHat からは既にアップデートがリリース*3されていて、yum を使えば RHEL7 は bash-4.2.45-5.el7_0.2, RHEL6 は bash-4.1.2-15.el6_5.1, RHEL5 は bash-3.2-33.el5.1 にアップデートされるようです。ただ、このパッチは不完全で CVE-2014-7169 が新たに割り当てられたことが追記されています*4*5ので、これがクローズされるまで本件は引き続き対応が必要です。

参考


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/7051
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン