【活用ガイド】

JVNDB-2014-004399

GNU bash におけるファイルに書き込まれる脆弱性

概要

GNU bash は、環境変数の値内の特定の不正な形式の関数定義の後で末尾の文字列を処理するため、ファイルに書き込まれるなど、不特定の影響を受ける脆弱性が存在します。

本脆弱性は、CVE-2014-6271 に対する修正が不十分だったことによる脆弱性です。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


GNU Project
  • bash 4.3 bash43-025 まで

本脆弱性の影響を受ける製品の詳細については、各ベンダの提供する情報をご確認ください。

・日本電気製品の詳細: AV14-003
・富士通製品の詳細:「GNU Bash に OS コマンドインジェクションの脆弱性」への富士通製品の対応について
・VMware 製品の詳細: VMSA-2014-0010
・アップル製品の詳細: HT6495HT6535
・オラクル製品の詳細: Bash "Shellshock" Vulnerabilities - CVE-2014-7169
・シスコシステムズ製品の詳細: cisco-sa-20140926-bash
・ヒューレット・パッカード製品の詳細:HPSBGN03117 SSRT101724
・日立製品の詳細:サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について
想定される影響

第三者により、巧妙に細工された環境を介して、ファイルに書き込まれるなど、不特定の影響を受ける可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

F5 Networks GNU Project IBM Novell QNAP Systems VMware アップル
  • Apple Security Updates : HT6495
  • Apple Security Updates : HT6535
  • Apple セキュリティアップデート : HT6495
  • Apple セキュリティアップデート : HT6535
アライドテレシス オラクル サイバートラスト株式会社 シスコシステムズ シトリックス・システムズ ジュニパーネットワークス ターボリナックス バッファロー ヒューレット・パッカード ブルーコートシステムズ
  • Security Advisories : SA82
ヤマハ レッドハット 株式会社アイ・オー・データ機器 日本電気
  • NEC製品セキュリティ情報 : AV14-003
日立 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. OSコマンドインジェクション(CWE-78) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-7169
参考情報

  1. JVN : JVNVU#97219505
  2. JVN : JVN#55667175
  3. JVN : JVNVU#97537282
  4. JVN iPedia : JVNDB-2014-000126
  5. National Vulnerability Database (NVD) : CVE-2014-7169
  6. IPA 重要なセキュリティ情報 : bash の脆弱性対策について(CVE-2014-6271 等)
  7. JPCERT 注意喚起 : JPCERT-AT-2014-0037
  8. US-CERT Vulnerability Note : VU#252743
  9. US-CERT Technical Cyber Security Alert : TA14-268A
  10. ICS-CERT ADVISORY : ICSA-14-269-01A
  11. 関連文書 : Openwall GNU/*/Linux - a small security-enhanced Linux distro for servers
  12. 関連文書 : The bash patch seems incomplete to me, function parsing is still brittle.
  13. 関連文書 : 株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)
  14. 関連文書 : APPLE-SA-2014-10-16-1 OS X Yosemite v10.10
更新履歴

  • [2014年09月26日]
      掲載
    [2014年09月30日]
      ベンダ情報:レッドハット (RHSA-2014:1306) を追加
      ベンダ情報:レッドハット (Bash specially-crafted environment variables code injection attack) を追加
      ベンダ情報:レッドハット (Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) in Red Hat Enterprise Linux) を追加
      ベンダ情報:富士通 (GNU Bash に OS コマンドインジェクションの脆弱性) を追加
    [2014年10月06日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
      ベンダ情報:ミラクル・リナックス (bash-3.2-33.AXS3.4) を追加
      ベンダ情報:ミラクル・リナックス (bash-4.1.2-15.AXS4.2) を追加
      ベンダ情報:ヤマハ (GNU Bash 「OS コマンドインジェクション」の脆弱性について) を追加
      ベンダ情報:日本電気 (AV14-003) を追加
      参考情報:関連文書 (株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)) を追加
    [2014年10月21日]
      ベンダ情報:オラクル (Oracle Security Alert for CVE-2014-7169) を追加
      ベンダ情報:オラクル (Multiple vulnerabilities in Bash) を追加
    [2014年10月28日]
      参考情報:JVN (JVN#55667175) を追加
    [2014年11月07日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:F5 Networks (SOL15629) を追加
      ベンダ情報:IBM (T1021272) を追加
      ベンダ情報:IBM (1685749) を追加
      ベンダ情報:IBM (1685914) を追加
      ベンダ情報:IBM (1685541) を追加
      ベンダ情報:IBM (S1004915) を追加
      ベンダ情報:IBM (S1004879) を追加
      ベンダ情報:IBM (T1021279) を追加
      ベンダ情報:IBM (S1004897) を追加
      ベンダ情報:IBM (S1004898) を追加
      ベンダ情報:IBM (1686479) を追加
      ベンダ情報:IBM (1686084) を追加
      ベンダ情報:IBM (1685604) を追加
      ベンダ情報:IBM (1685733) を追加
      ベンダ情報:IBM (1686131) を追加
      ベンダ情報:IBM (MIGR-5096315) を追加
      ベンダ情報:Novell (OES11 SP2, OES11SP1, OES2 SP3 vulnerability with GNU Bash Remote Code Execution (aka ShellShock) and Mozilla NSS vulnerabilities) を追加
      ベンダ情報:Novell (CVE-2014-6271) を追加
      ベンダ情報:Novell (ZENworks Configuration Management vulnerability with GNU Bash Remote Code Execution (aka ShellShock)) を追加
      ベンダ情報:Novell (ShellShock 101 - What you need to know and do, to ensure your systems are secure) を追加
      ベンダ情報:VMware (VMSA-2014-0010) を追加
      ベンダ情報:アップル (HT6495) を追加 
      ベンダ情報:アップル (HT6535) を追加
      ベンダ情報:オラクル (Bash "Shellshock" Vulnerabilities - CVE-2014-7169) を追加
      ベンダ情報:シスコシステムズ (cisco-sa-20140926-bash) を追加
      ベンダ情報:シトリックス・システムズ (CTX200217) を追加
      ベンダ情報:シトリックス・システムズ (CTX200223) を追加
      ベンダ情報:ジュニパーネットワークス (JSA10648) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBGN03117 SSRT101724) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBHF03119 SSRT101725) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03122 SSRT101717) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBHF03124 SSRT101728) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBHF03125 SSRT101724) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBGN03138 SSRT101755) を追加
      ベンダ情報:レッドハット (Bug 1141597) を追加
      ベンダ情報:ブルーコートシステムズ (SA82) を追加
      ベンダ情報:バッファロー (GNU BashにおけるOSコマンドインジェクションの脆弱性) を追加
      参考情報:JVN (JVNVU#97537282) を追加
      参考情報:関連文書 (APPLE-SA-2014-10-16-1 OS X Yosemite v10.10) を追加
    [2014年11月27日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:ヒューレット・パッカード (HPSBST03131 SSRT101749) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03129 SSRT101760) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBGN03141 SSRT101763) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBGN03142 SSRT101764) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03144 SSRT101762) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBHF03145 SSRT101765) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03143 SSRT101761) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBHF03146 SSRT101765) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03157 SSRT101718) を追加
      ベンダ情報:IBM (1686447) を追加
      ベンダ情報:レッドハット (RHSA-2014:1354) を追加
      ベンダ情報:QNAP Systems (NAS-201410-05) を追加
      参考情報:JVN iPedia (JVNDB-2014-000126) を追加
    [2014年12月02日]
      ベンダ情報:ヒューレット・パッカード (HPSBMU03182 SSRT101787) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03154 SSRT101747) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03181 SSRT101811) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03155 SSRT101747) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03165 SSRT101783) を追加
    [2015年01月07日]
      ベンダ情報:アイ・オー・データ機器 (GNU bash の脆弱性に関する弊社調査・対応状況について) を追加
    [2015年03月27日]
      ベンダ情報:ターボリナックス (TLSA-2014-9) を追加
    [2015年04月30日]
      ベンダ情報:IBM (1685433) を追加
      ベンダ情報:IBM (1685522) を追加
      ベンダ情報:IBM (1686493) を追加
      ベンダ情報:IBM (1685798) を追加
      ベンダ情報:IBM (1686299) を追加
      ベンダ情報:IBM (1686635) を追加
    [2015年12月24日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について) を追加
      ベンダ情報:日立 (bashの脆弱性(CVE-2014-6271,CVE-2014-7169 他)によるHA8500への影響について) を追加
  • [2024年07月17日]
      参考情報:ICS-CERT ADVISORY (ICSA-14-269-01A) を追加