公開日:2014/09/26 最終更新日:2024/07/16
JVNVU#97219505
GNU Bash に OS コマンドインジェクションの脆弱性
GNU Bash には OS コマンドインジェクションの脆弱性が存在します。
- GNU Bash 4.3 およびそれ以前
Red Hat は、GNU Bash が脆弱なバージョンであるかどうかをチェックするための、次のようなテストコードを提供しています。
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
詳しくは、Red Hat が提供する support article を参照してください。
GNU Bash には、環境変数にシェル関数定義を設定して他のシェルプロセスに渡す機能と、環境変数で設定されたシェル関数定義を取り込む機能が存在します。
関数定義に続きシェルコマンドが記述されている形で環境変数が設定されているとき、GNU Bash は関数定義を取り込む際にそのシェルコマンドを実行してしまいます (CWE-78)。
アプリケーションの権限で任意の OS コマンドを実行される可能性があります。
アップデートする
各製品開発者が提供する情報をもとに、対策版を適用してください。
なお、当初公開された脆弱性 (CVE-2014-6271) の対策パッチは修正不十分であることが指摘されています。
このパッチの適用後に残る脆弱性 (CVE-2014-7169) やその他の脆弱性についても、現在対策が進んでいます。
ワークアラウンドを実施する
Red Hat が提供する support article を参考に、ワークアラウンドを実施してください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| アライドテレシス株式会社 | 該当製品あり | 2014/10/06 | |
| センチュリー・システムズ株式会社 | 該当製品あり | 2024/07/10 | センチュリー・システムズ株式会社 の告知ページ |
| ミラクル・リナックス株式会社 | 該当製品あり | 2014/09/26 | |
| ヤマハ株式会社 | 該当製品あり | 2014/10/02 | ヤマハ株式会社 の告知ページ |
| 古河電気工業株式会社 | 該当製品無し | 2014/09/26 | |
| 富士通株式会社 | 該当製品あり | 2014/10/27 | |
| 日本電気株式会社 | 該当製品あり(調査中) | 2014/10/30 | |
| 日立 | 該当製品あり(調査中) | 2014/10/04 | |
| 株式会社アイ・オー・データ機器 | 該当製品あり | 2014/12/24 | 株式会社アイ・オー・データ機器 の告知ページ |
| 株式会社アラタナ | 該当製品あり | 2014/09/26 | 株式会社アラタナ の告知ページ |
| 株式会社バッファロー | 該当製品あり | 2014/11/06 | 株式会社バッファロー の告知ページ |
-
ICS Advisory | ICSA-14-269-01A
Bash Command Injection Vulnerability -
CERT/CC Vulnerability Note VU#252743
GNU Bash shell executes commands in exported functions in environment variables -
Alert | TA14-268A
GNU Bourne-Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 and CVE 2014-6278)
bash 4.3 における一連の脆弱性とパッチの対応状況は下記の表の通りです。2014年9月30日現在、Upstream パッチを適用しただけでは対策できない脆弱性が存在します。
検証環境:CentOS 6上で GNU Bash 4.3 のソースコードに対して、各 Upstream パッチおよび RedHat によるパッチを累積的に適用し、コンパイルした bash を使用。
凡例
×:脆弱性の再現を確認
| 024 | 025 | 026 | 027 | Non-upstream patch(※1) | |
|---|---|---|---|---|---|
| CVE-2014-6271 | × | ||||
| CVE-2014-7169 | × | × | |||
| CVE-2014-7186 | × | × | × | × | |
| CVE-2014-7187 | × | × | × | × | |
| CVE-2014-6277/6278 | × | × | × |
※1:oss-security メーリングリストに投稿されたパッチ(Subject: Fwd: Non-upstream patches for bash)のうち、GNU Bash の upstream patch 027 までに取り込まれていない parse.y に対する修正パッチ
CVSS v2
AV:N/AC:L/Au:N/C:C/I:C/A:C
基本値:
10.0
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
| JPCERT 緊急報告 |
JPCERT-AT-2014-0037 GNU bash の脆弱性に関する注意喚起 |
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2014-7186 |
|
CVE-2014-7187 |
|
|
CVE-2014-6277 |
|
|
CVE-2014-6278 |
|
|
CVE-2014-6271 |
|
|
CVE-2014-7169 |
|
| JVN iPedia |
- 2014/09/26
- 株式会社アラタナのベンダステータスが更新されました
- 2014/09/29
- 古河電気工業株式会社、ミラクル・リナックス株式会社のベンダステータスが更新されました
- 2014/09/29
- 富士通株式会社のベンダステータスが更新されました
- 2014/09/30
- ヤマハ株式会社のベンダステータスが更新されました
- 2014/09/30
- JPCERT/CCからの補足情報を追加しました
- 2014/10/01
- 株式会社バッファローのベンダステータスが更新されました
- 2014/10/01
- 株式会社アイ・オー・データ機器のベンダステータスが更新されました。参考情報にリンクを追加しました。
- 2014/10/02
- 日本電気株式会社のベンダステータスが更新されました
- 2014/10/02
- ヤマハ株式会社のベンダステータスが更新されました
- 2014/10/02
- 株式会社バッファローのベンダステータスが更新されました
- 2014/10/03
- 参考情報のリンクを修正しました。
- 2014/10/03
- 株式会社アイ・オー・データ機器のベンダステータスが更新されました
- 2014/10/06
- 日立のベンダステータスが更新されました
- 2014/10/06
- アライドテレシス株式会社のベンダステータスが更新されました
- 2014/10/06
- アライドテレシス株式会社のベンダステータスが更新されました
- 2014/10/27
- 富士通株式会社のベンダステータスが更新されました
- 2014/10/30
- 日本電気株式会社のベンダステータスが更新されました
- 2014/11/06
- 株式会社バッファローのベンダステータスが更新されました
- 2014/12/25
- 株式会社アイ・オー・データ機器のベンダステータスが更新されました
- 2024/07/16
- センチュリー・システムズ株式会社のベンダステータスが更新されました
- 2024/07/16
- 参考情報を修正しました
