この度、GNU Projectが提供する、UNIXおよびLinuxで広く使われているシェル「Bourne Again Shell(Bash)」に重大な脆弱性「CVE-2014-6271 等」が確認されています。 これは、「bash」において、OSコマンドインジェクションにより、インターネットに接続されたWebサーバなどが乗っ取られる可能性があります。

JPCERT CC
GNU bash の脆弱性に関する注意喚起

IPA 情報処理推進機構
更新：bash の脆弱性対策について(CVE-2014-6271 等)

すでに、bashのShellshock脆弱性を利用するボットネットが出現しているというニュースも流れています。早急な対応が求められます。

「bash」による脆弱性とは?

「bash」には、環境変更の処理に脆弱性が見つかりました。これにより、任意のOSコマンドが実行される可能性があります。このセキュリティホールは2014年4月に「OpenSSL」に見つかった脆弱性に匹敵する深刻な問題と指摘されています。

想定される攻撃例

CGI経由でOSコマンドを実行するウェブアプリケーションが動作している場合、遠隔から任意のOSコマンドを実行される可能性がある。

攻撃者が指定したOSコマンドが実行された結果、ウェブサーバの動作権限の範囲で

1. 情報の搾取
2. ファイルの作成、編集、削除
3. ウェブサーバへの過負荷によるパフォーマンス低下

などの被害が発生する可能性があります。

参考：IPA – 更新：bash の脆弱性対策について(CVE-2014-6271 等)

tracpath のセキュリティ対策

　エンタープライズ向けのtracpathは、常に最新のセキュリティパッチが適用されています。GNU bash の脆弱性対策も対策済みです。(tracpath の bash 脆弱性対応について (CVE-2014-6271, CVE-2014-7169))

本件に関するお問い合わせ先: info@tracpath.com までお願いします。