セキュリティ情報

JPCERT/CC、GNU bash の脆弱性に関する注意喚起、修正が不十分であるとの指摘も

JPCERT/CCは9月25日、GNU bashに存在する、環境変数の取り扱いに起因する脆弱性に関して注意喚起を行った。

この注意喚起は、CVE-2014-6271において指摘されているもので、リモートからシステムの乗っ取りが可能になってしまう、極めて深刻な脆弱性。9月24日頃から各ディストリビューターによりセキュリティアップデートが提供されているが、修正が不十分であるとの指摘もある。現段階(9月26日時点)では、CVE-2014-7169の不具合は修正されていないため、管理者は引き続き回避策の検討、情報への注意が必要となる。

CVE-2014-6271については、既にマルウェアによる攻撃が確認されているとの報告もある。CVE-2014-7169の脆弱性は、CVE-2014-6271の脆弱性に比べれば危険度が低いため、アップデートの適用は必須となっている。また、回避策として「GNU bashを代替のシェルに入れ替える」「WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける」「 継続的なシステム監視を行う」などの対応が考えられるという。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス