【活用ガイド】

JVNDB-2014-004410

GNU bash における任意のコードを実行される脆弱性

概要

GNU bash は、環境変数の値の関数定義の後で末尾の文字列を処理するため、任意のコードを実行される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


GNU Project
  • bash 4.3 まで

本脆弱性の影響を受ける製品の詳細については、各ベンダの提供する情報をご確認ください。

・日本電気製品の詳細: AV14-003
・富士通製品の詳細:「GNU Bash に OS コマンドインジェクションの脆弱性」への富士通製品の対応について
・VMware 製品の詳細: VMSA-2014-0010
・アップル製品の詳細: HT6495HT6535
・オラクル製品の詳細: Bash "Shellshock" Vulnerabilities - CVE-2014-7169
・シスコシステムズ製品の詳細: cisco-sa-20140926-bash
・ヒューレット・パッカード製品の詳細: HPSBGN03117 SSRT101724
・日立製品の詳細:サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について
想定される影響

第三者により、巧妙に細工された環境を介して、任意のコードを実行される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

F5 Networks GNU Project IBM Novell QNAP Systems VMware アップル
  • Apple Security Updates : HT6495
  • Apple Security Updates : HT6535
  • Apple セキュリティアップデート : HT6495
  • Apple セキュリティアップデート : HT6535
アライドテレシス ウェブセンス オラクル シスコシステムズ シトリックス・システムズ ジュニパーネットワークス ターボリナックス チェック・ポイント・ソフトウェア・テクノロジーズ
  • Check Point Support Center : sk102673
バッファロー ヒューレット・パッカード ブルーコートシステムズ
  • Security Advisories : SA82
ミラクル・リナックス ヤマハ レッドハット 株式会社アイ・オー・データ機器 日本電気
  • NEC製品セキュリティ情報 : AV14-003
日立 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. OSコマンドインジェクション(CWE-78) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-6271
参考情報

  1. JVN : JVNVU#97219505
  2. JVN : JVN#55667175
  3. JVN : JVNVU#97537282
  4. JVN iPedia : JVNDB-2014-000126
  5. National Vulnerability Database (NVD) : CVE-2014-6271
  6. IPA 重要なセキュリティ情報 : bash の脆弱性対策について(CVE-2014-6271 等)
  7. JPCERT 注意喚起 : JPCERT-AT-2014-0037
  8. US-CERT Vulnerability Note : VU#252743
  9. US-CERT Technical Cyber Security Alert : TA14-268A
  10. ICS-CERT ADVISORY : ICSA-15-344-01
  11. 関連文書 : 株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)
  12. 関連文書 : APPLE-SA-2014-10-16-1 OS X Yosemite v10.10
  13. 関連文書 : MGASA-2014-0388
更新履歴

[2014年09月29日]
  掲載
[2014年09月30日]
  ベンダ情報:レッドハット (RHSA-2014:1293) を追加
  ベンダ情報:レッドハット (RHSA-2014:1294) を追加
  ベンダ情報:レッドハット (Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) in Red Hat Enterprise Linux) を追加
  ベンダ情報:富士通 (GNU Bash に OS コマンドインジェクションの脆弱性) を追加
[2014年10月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
  ベンダ情報:ミラクル・リナックス (bash-3.2-33.AXS3.4) を追加
  ベンダ情報:ミラクル・リナックス (bash-4.1.2-15.AXS4.2) を追加
  ベンダ情報:ヤマハ (GNU Bash 「OS コマンドインジェクション」の脆弱性について) を追加
  ベンダ情報:日本電気 (AV14-003) を追加
  参考情報:関連文書 (株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)) を追加
[2014年10月21日]
  ベンダ情報:オラクル (Multiple vulnerabilities in Bash) を追加
[2014年10月28日]
  参考情報:JVN (JVN#55667175) を追加
[2014年11月07日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:F5 Networks (SOL15629) を追加
  ベンダ情報:IBM (T1021272) を追加
  ベンダ情報:IBM (1685749) を追加
  ベンダ情報:IBM (1685914) を追加
  ベンダ情報:IBM (1685541) を追加
  ベンダ情報:IBM (S1004915) を追加
  ベンダ情報:IBM (S1004879) を追加
  ベンダ情報:IBM (T1021279) を追加
  ベンダ情報:IBM (S1004897) を追加
  ベンダ情報:IBM (S1004898) を追加
  ベンダ情報:IBM (1686479) を追加
  ベンダ情報:IBM (1686084) を追加
  ベンダ情報:IBM (1685604) を追加
  ベンダ情報:IBM (1685733) を追加
  ベンダ情報:IBM (1686131) を追加
  ベンダ情報:IBM (MIGR-5096315) を追加
  ベンダ情報:Novell (OES11 SP2, OES11SP1, OES2 SP3 vulnerability with GNU Bash Remote Code Execution (aka ShellShock) and Mozilla NSS vulnerabilities) を追加
  ベンダ情報:Novell (CVE-2014-6271) を追加
  ベンダ情報:Novell (ZENworks Configuration Management vulnerability with GNU Bash Remote Code Execution (aka ShellShock)) を追加
  ベンダ情報:Novell (ShellShock 101 - What you need to know and do, to ensure your systems are secure) を追加
  ベンダ情報:Novell (SUSE-SU-2014:1223) を追加
  ベンダ情報:VMware (VMSA-2014-0010) を追加
  ベンダ情報:アップル (HT6495) を追加 
  ベンダ情報:アップル (HT6535) を追加
  ベンダ情報:オラクル (Bash "Shellshock" Vulnerabilities - CVE-2014-7169) を追加
  ベンダ情報:シスコシステムズ (cisco-sa-20140926-bash) を追加
  ベンダ情報:シトリックス・システムズ (CTX200217) を追加
  ベンダ情報:シトリックス・システムズ (CTX200223) を追加
  ベンダ情報:ジュニパーネットワークス (JSA10648) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03117 SSRT101724) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBHF03119 SSRT101725) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03122 SSRT101717) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBHF03124 SSRT101728) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBHF03125 SSRT101724) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03138 SSRT101755) を追加
  ベンダ情報:レッドハット (RHSA-2014:1295) を追加
  ベンダ情報:ブルーコートシステムズ (SA82) を追加
  ベンダ情報:バッファロー (GNU BashにおけるOSコマンドインジェクションの脆弱性) を追加
  参考情報:JVN (JVNVU#97537282) を追加
  参考情報:関連文書 (APPLE-SA-2014-10-16-1 OS X Yosemite v10.10 ) を追加
[2014年11月27日]
  ベンダ情報:ヒューレット・パッカード (HPSBMU03143 SSRT101761) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03144 SSRT101762) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03131 SSRT101749) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03129 SSRT101760) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03142 SSRT101764) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03141 SSRT101763) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBHF03146 SSRT101765) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03157 SSRT101718) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBHF03145 SSRT101765) を追加
  ベンダ情報:IBM (1686447) を追加
  ベンダ情報:レッドハット (RHSA-2014:1354) を追加
  ベンダ情報:QNAP Systems (NAS-201410-05) を追加
  参考情報:JVN iPedia (JVNDB-2014-000126) を追加
[2014年12月09日]
  ベンダ情報:ヒューレット・パッカード (HPSBST03148 SSRT101749) を追加
[2015年01月07日]
  ベンダ情報:アイ・オー・データ機器 (GNU bash の脆弱性に関する弊社調査・対応状況について) を追加
[2015年03月27日]
  ベンダ情報:ターボリナックス (TLSA-2014-9) を追加
[2015年04月30日]
  ベンダ情報:IBM (1685433) を追加
  ベンダ情報:IBM (1685522) を追加
  ベンダ情報:IBM (1686493) を追加
  ベンダ情報:IBM (1685798) を追加
  ベンダ情報:IBM (1686299) を追加
  ベンダ情報:IBM (1686635) を追加
[2015年05月27日]
  ベンダ情報:ウェブセンス (Vulnerabilities resolved in TRITON APX Version 8.0) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03217 SSRT101827) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBOV03228 SSRT101711) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03233) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03245 SSRT101742) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03246 SSRT101743) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03265 SSRT101905) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03196 SSRT101816) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03220 SSRT101819) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03195 SSRT101835) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03133 SSRT101733) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03165 SSRT101783) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03182 SSRT101787) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03154 SSRT101747) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03155 SSRT101747) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03181 SSRT101811) を追加
  ベンダ情報:IBM (1686246) を追加
  ベンダ情報:IBM (1686445) を追加
  ベンダ情報:IBM (1686494) を追加
  ベンダ情報:IBM (1687079) を追加
  ベンダ情報:IBM (T1021361) を追加
  ベンダ情報:チェック・ポイント・ソフトウェア・テクノロジーズ (sk102673) を追加
  参考情報:関連文書 (MGASA-2014-0388) を追加
[2015年12月22日]
  参考情報:ICS-CERT ADVISORY (ICSA-15-344-01) を追加
[2015年12月24日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について) を追加
  ベンダ情報:日立 (bashの脆弱性(CVE-2014-6271,CVE-2014-7169 他)によるHA8500への影響について) を追加