bash に深刻な脆弱性、今後の続報にも注意（CVE-2014-6271）

bash に深刻な脆弱性（CVE-2014-6271^*1*2）が見つかったということで、朝から各所で大騒ぎになっています。

GNU bash の脆弱性に関する注意喚起

GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNU bash の環境変数に設定される環境において、遠隔の第三者によって任意のコードが実行される可能性があります。本脆弱性を修正するパッチが公開されましたが、修正が不十分であるとの指摘がでており、依然として影響を受ける可能性がありますので、該当するバージョンの GNU bash を使用している場合は、「IV. 回避策」を参考に、至急修正パッチを適用のうえ、回避策の実施を検討してください。

環境変数が bash に渡ってしまうとアウトなので、直接的に bash を使っていなくとも CGI などで少しでも bash を経由するとアウトというのが痛いところです。Linux の場合は sh が bash へのリンクになっているので sh を使っているとこちらもアウト。環境変数は汚染された文字列であるということを再確認させてくれる事象です。環境変数の処理の問題の具体的な例については以下の RedHat のサイトで詳しく解説がなされています。

• Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) - Red Hat Customer Portal
• Bash specially-crafted environment variables code injection attack | Red Hat Security

RedHat からは既にアップデートがリリース^*3されていて、yum を使えば RHEL7 は bash-4.2.45-5.el7_0.2, RHEL6 は bash-4.1.2-15.el6_5.1, RHEL5 は bash-3.2-33.el5.1 にアップデートされるようです。ただ、このパッチは不完全で CVE-2014-7169 が新たに割り当てられたことが追記されています^*4*5ので、これがクローズされるまで本件は引き続き対応が必要です。

† 参考

• UNIXとLinuxの「Bash」シェルに重大なセキュリティホール - CNET Japan
• 米RedHat、Bashへのコードインジェクション攻撃についてブログで解説：CodeZine

• ^*1: Vulnerability Summary for CVE-2014-6271
• ^*2: access.redhat.com | CVE-2014-6271
• ^*3: Critical: bash security update - Red Hat Customer Portal
• ^*4: access.redhat.com |
• ^*5: Vulnerability Summary for CVE-2014-7169