ご利用ガイドbashの脆弱性(Shellshock)に関するご注意
目次
「これは2015年5月17日以前にアカウント登録されたお客様向けの記事です。」
このエントリは緊急性を鑑み、ConoHaをお使いのお客様に速報的な情報をお伝えするものです。適時更新しますので更新履歴もご確認ください。(Last Update 2014/09/29 22:00)
いわゆるBashの脆弱性問題「ShellShock」(CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187)に関する情報を扱います。
ConoHaでは2014/09/29 14:00にOSイメージのアップデートを行い、現在はShellshock対策済みのbashがインストールされます。
概要
9月24日、Linuxで広く使われているシェルプログラム「bash」に脆弱性が見つかりました。影響を受けるのは、LinuxやFreeBSDなどUNIX系のOSです。
この脆弱性は、bashが環境変数を通じて、特定の記述をした文字列をコマンドと解釈して実行してしまうものです。また、CGI経由などでリモートから悪用される可能性があります。
現在ConoHaで提供している標準OSはCentOS6.5で、この脆弱性の影響を受けます。また、過去のバージョンのCentOSも同様に影響を受けます。
対策
(2014/09/26 10:00追記) 昨日、CVE-2014-6271へのディストリビューターからアップデートが提供されましたが、これは不完全です。そして、新たにCVE-2014-7169が定義されましたが、アップデートはまだ提供されていないようです。
Vulnerability Summary for CVE-2014-7169
NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-6271.
この脆弱性(訳注:CVE-2014-7169)はCVE-2014-6271が不完全な修正であったため存在しています。
そのため、以下の対策だけでは不十分な可能性があります。
(2014/09/26 12:00追記) CentOSについてはディストリビューターからアップデータが公開されました。CVE-2014-7169にも対応しています。以下の手順の実行と、バージョンの確認を行ってください。
(2014/09/28 10:30追記) 新たにCVE-2014-7186, CVE-2014-7187が定義されています。Ubuntuについてはアップデートが出ているようですが、詳細を確認中です。
(2014/09/29 13:45追記) 弊社で確認した限り、CentOSでもCVE-2014-7186, CVE-2014-7187ともに問題は修正されていました。
(2014/09/29 14:00追記) ConoHaの標準OSがアップデートされました。今後作成されるVPSについては、Shellshock対策済みのbashがインストールされます。
ディストリビューターから対策済みのプログラムが提供されています。
ConoHaの標準OS(CentOS)の場合は、yumコマンドでbashのアップデートを行ってください。
また、文末の関連情報に各OSのアナウンスへのリンクを掲載しています。CentOS以外をお使いの場合は、こちらの情報を元にお客様自身でアップデートを行ってください。
1. bashのバージョンを確認する
# yum list installed | grep bash2. yumキャッシュのクリアとbashのアップデートを実行
# yum clean all
# yum -y update bashアップデート後、バージョンを確認して下さい。以下であれば、対策済みのバージョンがインストールされています。
CentOS7
bash-4.2.45-5.el7_0.4
CentOS6
bash-4.1.2-15.el6_5.2
CentOS5
bash-3.2-33.el5_11.4
[Important: bash security update ? Red Hat Customer Portal]
https://rhn.redhat.com/errata/RHSA-2014-1306.html
更新履歴
・ 2014/09/25 14:25 初版公開
・ 2014/09/25 18:15 関連情報にJPCERTの注意喚起を追加
・ 2014/09/26 10:00 CVE-2014-7169のリンクを追加。またCVE-2014-6271が不完全であることを追記。
・ 2014/09/26 12:00 CVE-2014-7169の対策アップデートの情報を追加
・ 2014/09/29 10:30 CVE-2014-7186, CVE-2014-7187について情報を追加
・ 2014/09/29 13:45 CentOSでCVE-2014-7186, CVE-2014-7187が問題ないことを追記
・ 2014/09/29 14:14 ConoHaの標準OSのアップデートについて追記。またタイトルを一般認知されつつある「Shellshock」に変更。
・ 2014/09/29 22:00 曖昧だった表現を訂正
関連情報
Vulnerability Summary for CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
Vulnerability Summary for CVE-2014-7169
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開 ? ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1409/25/news042.html
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
Red Hat Enterprise Linux
https://access.redhat.com/articles/1200223
Ubuntu
http://www.ubuntu.com/usn/usn-2362-1/
Debian
https://security-tracker.debian.org/tracker/CVE-2014-6271
Gentoo
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2014-6271
SuSE
https://bugzilla.novell.com/show_bug.cgi?id=CVE-2014-6271
