今日も bash のアップデートを忘れずに （CVE-2014-7169）

昨日大騒ぎになった bash の脆弱性（CVE-2014-6271） のパッチが不十分だったということで、CVE-2014-7169^*1 として新たなパッチが配布されています。
昨日、大慌てでアップデートした人も多いと思いますが、再度アップデート作業が必要です。

昨日の CVE-2014-6271 は Severity が最も高い Critical でしたが、今日の CVE-2014-7169 は一つ下の Important となっています。CVSSv2 スコアも 7.5^*2 から 5.1^*3 に少し下がりました。

今回のアップデートが完了すると bash はRHEL7 では bash-4.2.45-5.el7_0.4, RHEL6 では bash-4.1.2-15.el6_5.2, RHEL5 では bash-3.2-33.el5_11.4 にそれぞれアップデートされます。
昨日の今日ですが、影響が大きいので既に日本語の解説も出てきているようです。

• 特別に作成された環境変数を使用した Bash コード挿入の脆弱性 (CVE-2014-6271) - Red Hat Customer Portal
• bashに存在する脆弱性 「Shellshock」｜トレンドマイクロ ブログ | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）

• ^*1: access.redhat.com | CVE-2014-7169
• ^*2: NVD - Calculator-v2 (AV:N/AC:L/Au:N/C:P/I:P/A:P)
• ^*3: NVD - Calculator-v2 (AV:N/AC:H/Au:N/C:P/I:P/A:P)