公開日:2014/09/26 最終更新日:2014/12/25

JVNVU#97219505
GNU Bash に OS コマンドインジェクションの脆弱性
緊急

概要

GNU Bash には OS コマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

  • GNU Bash 4.3 およびそれ以前
GNU Bash は様々な機器 (Linux, BSD, Mac OS X を含む UNIX 系オペレーティングシステム) やネットワークサービスで使用されており、これらも本脆弱性の影響を受ける可能性があります。

Red Hat は、GNU Bash が脆弱なバージョンであるかどうかをチェックするための、次のようなテストコードを提供しています。

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

詳しくは、Red Hat が提供する support article を参照してください。

詳細情報

GNU Bash には、環境変数にシェル関数定義を設定して他のシェルプロセスに渡す機能と、環境変数で設定されたシェル関数定義を取り込む機能が存在します。
関数定義に続きシェルコマンドが記述されている形で環境変数が設定されているとき、GNU Bash は関数定義を取り込む際にそのシェルコマンドを実行してしまいます (CWE-78)。

想定される影響

アプリケーションの権限で任意の OS コマンドを実行される可能性があります。

対策方法

アップデートする
各製品開発者が提供する情報をもとに、対策版を適用してください。

なお、当初公開された脆弱性 (CVE-2014-6271) の対策パッチは修正不十分であることが指摘されています。
このパッチの適用後に残る脆弱性 (CVE-2014-7169) やその他の脆弱性についても、現在対策が進んでいます。


ワークアラウンドを実施する
Red Hat が提供する support article を参考に、ワークアラウンドを実施してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2014/10/06
ミラクル・リナックス株式会社 該当製品あり 2014/09/26
ヤマハ株式会社 該当製品あり 2014/10/02 ヤマハ株式会社 の告知ページ
古河電気工業株式会社 該当製品無し 2014/09/26
富士通株式会社 該当製品あり 2014/10/27
日本電気株式会社 該当製品あり(調査中) 2014/10/30
日立 該当製品あり(調査中) 2014/10/04
株式会社アイ・オー・データ機器 該当製品あり 2014/12/24 株式会社アイ・オー・データ機器 の告知ページ
株式会社アラタナ 該当製品あり 2014/09/26 株式会社アラタナ の告知ページ
株式会社バッファロー 該当製品あり 2014/11/06 株式会社バッファロー の告知ページ

参考情報

  1. ICS-CERT Advisory (ICSA-14-269-01)
    Bash Command Injection Vulnerability
  2. shellshocker.net
    health IT team at Medical Informatics Engineering
  3. Shellshock in the Wild
    FireEye blog
  4. CERT/CC Vulnerability Note VU#252743
    GNU Bash shell executes commands in environment variables
  5. US-CERT Alert (TA14-268A)
    GNU Bourne Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271, CVE-2014-7169)

JPCERT/CCからの補足情報

bash 4.3 における一連の脆弱性とパッチの対応状況は下記の表の通りです。2014年9月30日現在、Upstream パッチを適用しただけでは対策できない脆弱性が存在します。

検証環境:CentOS 6上で GNU Bash 4.3 のソースコードに対して、各 Upstream パッチおよび RedHat によるパッチを累積的に適用し、コンパイルした bash を使用。

凡例
×:脆弱性の再現を確認

024 025 026 027 Non-upstream patch(※1)
CVE-2014-6271 ×
CVE-2014-7169 × ×
CVE-2014-7186 × × × ×
CVE-2014-7187 × × × ×
CVE-2014-6277/6278 × × ×

※1:oss-security メーリングリストに投稿されたパッチ(Subject: Fwd: Non-upstream patches for bash)のうち、GNU Bash の upstream patch 027 までに取り込まれていない parse.y に対する修正パッチ

JPCERT/CCによる脆弱性分析結果

2014.09.26における脆弱性分析結果(CVSS Base Metrics)  緊急

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が全面的に阻害される

Base Score:10.0

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2014-0037
GNU bash の脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-7186
CVE-2014-7187
CVE-2014-6277
CVE-2014-6278
CVE-2014-6271
CVE-2014-7169
JVN iPedia

更新履歴

2014/09/26
株式会社アラタナのベンダステータスが更新されました
2014/09/29
古河電気工業株式会社、ミラクル・リナックス株式会社のベンダステータスが更新されました
2014/09/29
富士通株式会社のベンダステータスが更新されました
2014/09/30
ヤマハ株式会社のベンダステータスが更新されました
2014/09/30
JPCERT/CCからの補足情報を追加しました
2014/10/01
株式会社バッファローのベンダステータスが更新されました
2014/10/01
株式会社アイ・オー・データ機器のベンダステータスが更新されました。参考情報にリンクを追加しました。
2014/10/02
日本電気株式会社のベンダステータスが更新されました
2014/10/02
ヤマハ株式会社のベンダステータスが更新されました
2014/10/02
株式会社バッファローのベンダステータスが更新されました
2014/10/03
参考情報のリンクを修正しました。
2014/10/03
株式会社アイ・オー・データ機器のベンダステータスが更新されました
2014/10/06
日立のベンダステータスが更新されました
2014/10/06
アライドテレシス株式会社のベンダステータスが更新されました
2014/10/06
アライドテレシス株式会社のベンダステータスが更新されました
2014/10/27
富士通株式会社のベンダステータスが更新されました
2014/10/30
日本電気株式会社のベンダステータスが更新されました
2014/11/06
株式会社バッファローのベンダステータスが更新されました
2014/12/25
株式会社アイ・オー・データ機器のベンダステータスが更新されました