ログイン

ご利用ガイド bashの脆弱性(Shellshock)に関するご注意

目次

「これは2015年5月17日以前にアカウント登録されたお客様向けの記事です。」

このエントリは緊急性を鑑み、ConoHaをお使いのお客様に速報的な情報をお伝えするものです。適時更新しますので更新履歴もご確認ください。(Last Update 2014/09/29 22:00)

いわゆるBashの脆弱性問題「ShellShock」(CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187)に関する情報を扱います。

ConoHaでは2014/09/29 14:00にOSイメージのアップデートを行い、現在はShellshock対策済みのbashがインストールされます。

概要

9月24日、Linuxで広く使われているシェルプログラム「bash」に脆弱性が見つかりました。影響を受けるのは、LinuxやFreeBSDなどUNIX系のOSです。

この脆弱性は、bashが環境変数を通じて、特定の記述をした文字列をコマンドと解釈して実行してしまうものです。また、CGI経由などでリモートから悪用される可能性があります。

現在ConoHaで提供している標準OSはCentOS6.5で、この脆弱性の影響を受けます。また、過去のバージョンのCentOSも同様に影響を受けます。

対策

(2014/09/26 10:00追記) 昨日、CVE-2014-6271へのディストリビューターからアップデートが提供されましたが、これは不完全です。そして、新たにCVE-2014-7169が定義されましたが、アップデートはまだ提供されていないようです。

Vulnerability Summary for CVE-2014-7169

NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-6271.

この脆弱性(訳注:CVE-2014-7169)はCVE-2014-6271が不完全な修正であったため存在しています。

そのため、以下の対策だけでは不十分な可能性があります。

(2014/09/26 12:00追記) CentOSについてはディストリビューターからアップデータが公開されました。CVE-2014-7169にも対応しています。以下の手順の実行と、バージョンの確認を行ってください。

(2014/09/28 10:30追記) 新たにCVE-2014-7186, CVE-2014-7187が定義されています。Ubuntuについてはアップデートが出ているようですが、詳細を確認中です。

(2014/09/29 13:45追記) 弊社で確認した限り、CentOSでもCVE-2014-7186, CVE-2014-7187ともに問題は修正されていました。

(2014/09/29 14:00追記) ConoHaの標準OSがアップデートされました。今後作成されるVPSについては、Shellshock対策済みのbashがインストールされます。

ディストリビューターから対策済みのプログラムが提供されています。

ConoHaの標準OS(CentOS)の場合は、yumコマンドでbashのアップデートを行ってください。

また、文末の関連情報に各OSのアナウンスへのリンクを掲載しています。CentOS以外をお使いの場合は、こちらの情報を元にお客様自身でアップデートを行ってください。

1. bashのバージョンを確認する

# yum list installed | grep bash

2. yumキャッシュのクリアとbashのアップデートを実行

# yum clean all
# yum -y update bash

アップデート後、バージョンを確認して下さい。以下であれば、対策済みのバージョンがインストールされています。

CentOS7

bash-4.2.45-5.el7_0.4

CentOS6

bash-4.1.2-15.el6_5.2

CentOS5

bash-3.2-33.el5_11.4

[Important: bash security update ? Red Hat Customer Portal]

https://rhn.redhat.com/errata/RHSA-2014-1306.html

更新履歴

 ・ 2014/09/25 14:25 初版公開

 ・ 2014/09/25 18:15 関連情報にJPCERTの注意喚起を追加

 ・ 2014/09/26 10:00 CVE-2014-7169のリンクを追加。またCVE-2014-6271が不完全であることを追記。

 ・ 2014/09/26 12:00 CVE-2014-7169の対策アップデートの情報を追加

 ・ 2014/09/29 10:30 CVE-2014-7186, CVE-2014-7187について情報を追加

 ・ 2014/09/29 13:45 CentOSでCVE-2014-7186, CVE-2014-7187が問題ないことを追記

 ・ 2014/09/29 14:14 ConoHaの標準OSのアップデートについて追記。またタイトルを一般認知されつつある「Shellshock」に変更。

 ・ 2014/09/29 22:00 曖昧だった表現を訂正

関連情報

Vulnerability Summary for CVE-2014-6271

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

Vulnerability Summary for CVE-2014-7169

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開 ? ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1409/25/news042.html

GNU bash の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2014/at140037.html

Red Hat Enterprise Linux

https://access.redhat.com/articles/1200223

Ubuntu

http://www.ubuntu.com/usn/usn-2362-1/

Debian

https://security-tracker.debian.org/tracker/CVE-2014-6271

Gentoo

https://bugs.gentoo.org/show_bug.cgi?id=CVE-2014-6271

SuSE

https://bugzilla.novell.com/show_bug.cgi?id=CVE-2014-6271

問題は解決できましたか?

関連記事

お申し込み後すぐに使えます
お申し込み

お役立ち情報

ConoHaではサポートコンテンツの他にも以下のようなお役立ち情報をご用意しております。ぜひご活用ください。