【重要】「bash」シェルの脆弱性に関する注意喚起

2014.09.25

9月24日に、LinuxなどのUNIX系OSで標準的に使われているシェル「bash」に極めて深刻な脆弱性が見つかり、修正パッチが公開されております。 お客様におかれましては、早急にOSの提供元から修正パッチを入手し適用していただけますようお願いいたします。

概要

この脆弱性は、リモートで任意のコマンドが実行できてしまう可能性がある不具合となります。 「bash」シェルは、特に弊社製品のサポートOSであるLinux OSでは標準のシェルとして必ずインストールされているパッケージです。 環境変数を介して任意のコマンドが実行可能になるという内容ですが、Webサーバに対して悪意を持って攻撃コードが実行された場合、データの流出や削除の危険が懸念されます。

この問題については、以下のサイトで詳しく説明されています。

• CVE-2014-6271
  bash: specially-crafted environment variables can be used to inject shell commands
  
  https://access.redhat.com/security/cve/CVE-2014-6271

お客様へ

本件に関しては、弊社が提供する製品全般においても影響を受ける可能性がございますので、早急に対策を実施していただけますようお願いいたします。

弊社パッケージ製品をご利用中のお客様
対象製品名：Active! mail, Active! hunter, Active! gate, Active! vault, Active! prime

またこの問題の発覚後の修正パッチにおいてもまた脆弱性が見つかっており、こちらについてはOSベンダ側でもまだパッチ提供されていないのが現状となります。

• CVE-2014-7169
  bash: code execution via specially-crafted environment (Incomplete fix for CVE-2014-6271)
  
  https://access.redhat.com/security/cve/CVE-2014-7169

対策

CVE-2014-6271に関しては、Red Hat Enterprise LinuxおよびCentOS向けの修正パッチがリリースされていることを確認済みです。

• Red Hat Enterprise Linux 5 / CentOS 5
  bash-3.2-33.el5.1.i386.rpm
  bash-3.2-33.el5.1.x86_64.rpm
  
• Red Hat Enterprise Linux 6 / CentOS 6
  bash-4.1.2-15.el6_5.1.i686.rpm
  bash-4.1.2-15.el6_5.1.x86_64.rpm
  

詳細および他のプラットフォームに関しましては、OSのサポート窓口にお問い合わせください。 なお、CVE-2014-7169については、近日中に対応が行われる可能性が高いものと思われますので、引き続きOS提供元からのパッチ情報をお待ちください。

追記

9月25日追記

• 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
  「GNU bash の脆弱性に関する注意喚起」としてJPCERT コーディネーションセンターも注意喚起として報告されています。
  https://www.jpcert.or.jp/at/2014/at140037.html

9月26日追記

• CVE-2014-7169に関して、25日に提供された修正パッチで残っていた不具合の修正版が本日（26日）リリースされています。詳細については以下をご参照ください。
  Red Hat: Important: bash security update
  https://rhn.redhat.com/errata/RHSA-2014-1306.html

• Red Hat Enterprise Linux 5 / CentOS 5
  bash-3.2-33.el5_11.4.i386.rpm
  bash-3.2-33.el5_11.4.x86_64.rpm
  
• Red Hat Enterprise Linux 6 / CentOS 6
  bash-4.1.2-15.el6_5.2.i686.rpm
  bash-4.1.2-15.el6_5.2.x86_64.rpm
  

以上、よろしくお願いいたします。