(重要)bash- 任意の OS コマンドを実行される脆弱性

GNU Project が提供する bash は、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェル(OS の一部としてプログラムの起動や制御などを行うプログラム)です。

bash に任意の OS コマンドを実行される脆弱性 が発見され、2014 年 9 月 24 日に修正パッチが公開されました。

ただし、脆弱性の修正が不十分であるという情報があります。その修正に対応したアップデートまたはパッチも各ベンダから順次公開されています。

——————————————————————————–

【影響を受けるシステム】
•bash 4.3 Official Patch 25 およびそれ以前
•bash 4.2 Official Patch 48 およびそれ以前
•bash 4.1 Official Patch 12 およびそれ以前
•bash 4.0 Official Patch 39 およびそれ以前
•bash 3.2 Official Patch 52 およびそれ以前
•bash 3.1 Official Patch 18 およびそれ以前
•bash 3.0 Official Patch 17 およびそれ以前

上記のバージョンの bash を使用して OS コマンドを実行するアプリケーションをネットワーク上に公開または接続している場合に攻撃を受ける可能性があります。

(1) ウェブアプリケーション
ウェブアプリケーションが CGI から OS のコマンドを実行している場合、攻撃の影響を受ける可能性があります。ウェブアプリケーションを公開している企業・組織は、ウェブアプリケーションの開発担当部署または開発した業者に、影響の有無を確認してください。

(2) Linux ベースの組み込み機器
ネットワーク機器などアプライアンスと呼ばれる Linux ベースの製品は、ウェブインターフェースなどを介して攻撃を受ける可能性があります。今後、製品ベンダによる対策情報の公開有無を確認してください。
無線 LAN ルータや NAS (Network Attached Storage:ネットワーク接続できる HDD 機器) などの家庭内の機器も攻撃を受ける可能性があります。

(3)各メーカ / ベンダの情報
JPCERT/CC と CERT/CC の取り組みによって集められた一部の各メーカ / ベンダの情報が公開されています。

——————————————————————————–

【対策方法】

(1) 脆弱性の解消 – アップデート
  Linux の場合、利用するディストリビュータが提供する情報をもとに、bash を最新バージョンにアップデートしてください。

(2) パッチの適用
  GNU Project が提供する情報をもとに、bash にパッチを適用してください。
9/29 新たなパッチが公開されました

(3) 上記の対策が困難な場合
•フィルタリング(WAF や iptables を用いるなど)
•アクセス制限(ネットワーク機器を用いるなど)
•可能な場合、一時的な公開停止