Bashの重大な脆弱性( CVE-2014-6271 ) ( CVE-2014-7169 )について

Bash に環境変数を通じた任意コード実行の脆弱性が発見されました。

脆弱性のCVE番号は「CVE-2014-6271」及び「CVE-2014-7169」となります。

リモートから悪用可能であるため早急に対処を行う必要がございます。

◎詳細は下記URLをご参照ください。

https://access.redhat.com/ja/articles/1210893
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
http://www.jpcert.or.jp/at/2014/at140037.html

ベンダーより修正パッケージが提供されておりますので、早急にアップデートを実施いただく事を強く推奨します。

アップデート後のバージョンは下記となります。

CentOS 6 : bash-4.1.2-15.el6_5.2 ( http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html )

上記修正パッケージにアップデートしていただく事で、「CVE-2014-6271」及び「CVE-2014-7169」への対策が行われます。

修正パッケージは自動的に適用されませんので、下記の手順にてアップデートを実施していただけますようお願いいたします。

===========================================================
◆脆弱性の確認方法
===========================================================
<<■CVE-2014-6271 の確認方法■>>

CVE-2014-6271の影響を受けるか否かにつきましては、サーバ内で下記コマンドを実行する事で確認が可能です。

$ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”

上記を実行した結果、コマンドが実行され次のように表示される場合は、脆弱性の影響を受けます。

————————————-
vulnerable
this is a test
————————————-

下記のように「vulnerable」という文字列が表示されない場合は上記修正パッケージ適用済みとなります。

————————————-
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test
————————————-

<<■CVE-2014-7169 の確認方法■>>

CVE-2014-7169の影響を受けるか否かにつきましては、サーバ内で下記コマンドを実行する事で確認が可能です。

$ env -i X='() { (a)=>\’ bash -c ‘echo date’

上記を実行した結果、echoという名前のファイルが生成され、コマンド実行時の時間が記録されている場合は、
脆弱性の影響を受けます。

————————————-
$ ls -al echo
-rw-rw-r– 1 atw atw 29 9月 26 16:52 echo

$ cat echo
Fri Sep 26 16:52:31 JST 2014
————————————-

下記のように「echo」というファイルが生成されない場合は上記修正パッケージ適用済みとなります。

————————————-
$ ls -lartc echo
ls: echo: そのようなファイルやディレクトリはありません
————————————-

<<■パッケージバージョンの確認コマンド■>>
$ rpm -q bash

<<■パッケージアップデート(対策)コマンド■>>
手動でアップデート(対策)を行う場合、下記コマンドで実施可能です。

# yum update bash

※古い metadeta が残っていると、正常にアップデート対象として表示されない場合がございます。
その際は、【 yum clean all】 をした後に実施してください。