1

Bash 脆弱性 – ShellShock- (1) CVE-2014-6271 / CVE-2014-7169 絶賛対応中です

こんにちは。

グローバルソリューション事業部の吉村です。

 

既にご存知の方もいるかと思いますが、Bash で脆弱性が発見されたことで、現在クララオンラインでは

技術メンバーが鋭意対応中です。

 

今回の脆弱性は、ランクとして極めて高い点数がついています。

 

以下のようなページに情報がまとめられています。

 

Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271)

https://access.redhat.com/articles/1200223

 

Bash specially-crafted environment variables code injection attack

https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

 

条件としていろいろありますが、リモートから bash の コマンドが実行可能 なようです。

workaround として iptables で回避する方法などもありますが、

bash を update して、パッチを適用すること 

が良いと思います。

 

しかし、

 

CVE-2014-6271 のセキュリティパッチが不完全だったとのことで、現在  CVE-2014-7169 が登場しました!

Bug 1146319 – (CVE-2014-7169) CVE-2014-7169 bash: Code execution via specially-crafted environment (Incomplete fix for CVE-2014-6271)

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-7169

 

 

また、reddit を見ると
http://redd.it/2hc5rk

・/bin/bash の権限で other ユーザを 0 にする人
・ansible とか puppet 使ってて羨ましがられてる人
・yum や apt-get で普通にアップデート対応した人

サーバ管理者にもいろんな人がいるみたいです。

 

最後に、お待たせしてしまい大変申し訳ございませんが、クララオンラインでの対応は現在協議中となります。

お客様へのアナウンスなどは別途ご案内を行いますので、今しばらくお待ちいただければと思います。

 

 

追記① : 今回の脆弱性に、ShellShock  という名前が付けられたようです。

追記②: 弊社宇野がさらに詳細な記事を書きました。記事はこちら → Bash 脆弱性 – ShellShock- (2) CVE-2014-6271 / CVE-2014-7169 は何が危険で問題なのかを検証してみました。

 

Share on LinkedIn
LINEで送る
Pocket

吉村

吉村

クララオンライン グローバルビジネスストラテジー部でマーケティング担当として働いています。 クラウド関連技術と中国関連の情報をお届けしてます。 たまに DJ とかします。日本語RAPが大好きです。

One Comment

Comments are closed.