Bash の脆弱性 (CVE-2014-7169, CVE-2014-6271) の影響と対処
■ Bash の脆弱性 (CVE-2014-7169, CVE-2014-6271) の影響と対処
[本ドキュメントの対象となる製品]
Asianux Server 3 for x86 (32bit)
Asianux Server 3 for x86_64 (64bit)
Asianux Server 4 for x86 (32bit)
Asianux Server 4 for x86_64 (64bit)
MIRACLE ZBXおよび関連アプライアンス製品
MIRACLE CLUSTERPRO
MIRACLE LoadBalancer
MIRACLE LoadBalancer Virtual Appliance
[概要]
Bash に重大な脆弱性(通称 ShellShock)が発見されました。
該当するバージョンを使用されている場合、攻撃者によりアプリケーションの権限で任意のOS コマンドを実行される可能性があります。下記 [影響の有無の確認方法] を行い、影響のある Bash を使用している場合は、ただちに本ドキュメントの [解決方法] を行ってください。
[詳細]
Bash の環境変数の処理の脆弱性 (CVE-2014-6271 及び CVE-2014-7169) に関する問題となります。GNU Bash には、環境変数にシェル関数定義を設定して他のシェルプロセスに渡す機能と、環境変数で設定されたシェル関数定義を取り込む機能が存在します。関数定義に続きシェルコマンドが記述されている形で環境変数が設定されているとき、GNU Bash は関数定義を取り込む際にそのシェルコマンドを実行してしまいます。(JVN#97219505より引用)
なお本パッケージは、Bash に関連する他の脆弱性CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、CVE-2014-6278についても修正されています。
[影響の有無の確認方法]
下記手順にて、Bash パッケージのバージョンを確認し、【対応表】にて影響の有無を確認してください。
1. OSのバージョンを確認してください。
# cat /etc/asianux-release
Asianux Server 4 (Hiranya SP3)
2. rpm コマンドで Bash パッケージのバージョンを確認してください。
# rpm -q bash
bash-4.1.2-15.AXS4.x86_64
【対応表】
OS製品
|
製品名 |
Bash のバージョン |
本脆弱性の影響 |
|
Asianux Server 3 |
bash-3.2-33.AXS3.4 未満のすべてのバージョン |
あり |
|
Asianux Server 4 |
bash-4.1.2-15.AXS4.2未満のすべてのバージョン |
あり |
MIRACLE ZBXおよび関連アプライアンス製品
MIRACLE ZBXおよび関連アプライアンス製品は本脆弱性の影響を受けます。動作環境のOSにあわせた対策を行ってください。
|
製品名 |
Bash のバージョン |
本脆弱性の影響 |
|
MIRACLE ZBXおよび関連アプライアンス製品 |
各製品の動作環境OSに依存する。MIRACLE ZBXおよび関連アプライアンス製品の動作環境OSはこちらの表で確認してください。 |
あり |
MIRACLE CLUSTERPRO
CLUSTERPRO, CLUSTERPRO Xでは、本脆弱性の影響はありません。
なお、CLUSTERPRO, CLUSTERPRO Xで二重化対象としているアプリケーションや、監視対象としているアプリケーションにおける影響につきましては、各アプリケーションの観点から確認してください。
MIRACLE LoadBalancer
|
製品名 |
Bash のバージョン |
本脆弱性の影響 |
|
MIRACLE LoadBalancer |
bash-3.2-33.AXS3.4 未満のすべてのバージョン |
あり |
|
MIRACLE LoadBalancer Virtual Appliance |
bash-3.2-33.AXS3.4 未満のすべてのバージョン |
あり |
[解決方法]
本脆弱性に対する回避策はありません。Bash のパッケージをアップデートしてください。
1. パッケージのダウンロード
以下の URL からダウンロードすることができます。
Asianux Server 4
bash-4.1.2-15.AXS4.2
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3919
Asianux Server 3
bash-3.2-33.AXS3.4
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3918
2. パッケージのアップデート
パッケージのテスト(依存関係のチェック)を行います。
# rpm -Uvh bash-4.1.2-15.AXS4.2.x86_64.rpm --test
上記でエラーが発生しなければ、以下コマンドでアップデートします。
# rpm -Uvh bash-4.1.2-15.AXS4.2.x86_64.rpm
なお、アップデート後にシステムの再起動は不要です。
[参考 URL]
GNU Bash に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97219505/index.html
[注意事項]
本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等を元にした参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
[更新履歴]
2014年 9月30日 新規作成
2014年 10月1日 情報更新
2014年 10月2日 情報更新
2014年 10月6日 情報更新