【活用ガイド】

JVNDB-2014-004433

GNU bash の parse.y の read_token_word 関数におけるサービス運用妨害 (DoS) の脆弱性

概要

GNU bash の parse.y の read_token_word 関数には、一つずれエラー (Off-by-One error) により、サービス運用妨害 (配列の領域外へのアクセスおよびアプリケーションクラッシュ) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


GNU Project
  • bash 4.3 bash43-026 まで

本脆弱性の影響を受ける製品の詳細については、各ベンダの提供する情報をご確認ください。

・日本電気製品の詳細: AV14-003
・富士通製品の詳細:「GNU Bash に OS コマンドインジェクションの脆弱性」への富士通製品の対応について
・VMware 製品の詳細: VMSA-2014-0010
・オラクル製品の詳細: Bash "Shellshock" Vulnerabilities - CVE-2014-7169
・シスコシステムズ製品の詳細: cisco-sa-20140926-bash
・ヒューレット・パッカード製品の詳細: HPSBGN03138 SSRT101755
・アップル製品の詳細: HT204244
・日立製品の詳細:サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について
想定される影響

第三者により、深いネストの for ループを介して、サービス運用妨害 (配列の領域外へのアクセスおよびアプリケーションクラッシュ) 状態にされるなど、不特定の影響を受ける可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

F5 Networks GNU Project IBM Novell QNAP Systems VMware アップル アライドテレシス オラクル シスコシステムズ シトリックス・システムズ ジュニパーネットワークス ターボリナックス バッファロー ヒューレット・パッカード ブルーコートシステムズ
  • Security Advisories : SA82
ミラクル・リナックス ヤマハ レッドハット 株式会社アイ・オー・データ機器 日本電気
  • NEC製品セキュリティ情報 : AV14-003
日立 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-7187
参考情報

  1. JVN : JVNVU#97219505
  2. JVN : JVN#55667175
  3. JVN : JVNVU#96447236
  4. JVN : JVNVU#97220341
  5. JVN iPedia : JVNDB-2014-000126
  6. National Vulnerability Database (NVD) : CVE-2014-7187
  7. IPA 重要なセキュリティ情報 : bash の脆弱性対策について(CVE-2014-6271 等)
  8. JPCERT 注意喚起 : JPCERT-AT-2014-0037
  9. US-CERT Vulnerability Note : VU#252743
  10. US-CERT Technical Cyber Security Alert : TA14-268A
  11. 関連文書 : Non-upstream patches for bash
  12. 関連文書 : Re: Fwd: Non-upstream patches for bash
  13. 関連文書 : CVE-2014-6271: remote code execution through bash
  14. 関連文書 : Bash bug: apply Florian's patch now (CVE-2014-6277 and CVE-2014-6278)
  15. 関連文書 : 株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)
更新履歴

[2014年09月30日]
  掲載
[2014年10月01日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:レッドハット (RHSA-2014:1306) を追加
  ベンダ情報:レッドハット (Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) in Red Hat Enterprise Linux) を追加
  ベンダ情報:レッドハット (Bash specially-crafted environment variables code injection attack) を追加
  ベンダ情報:富士通 (GNU Bash に OS コマンドインジェクションの脆弱性) を追加
  参考情報:JVN (JVNVU#97219505) を追加
  参考情報:IPA 重要なセキュリティ情報 (bash の脆弱性対策について(CVE-2014-6271 等)) を追加
  参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0037) を追加
  参考情報:US-CERT Technical Cyber Security Alert (TA14-268A) を追加
[2014年10月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
  ベンダ情報:ミラクル・リナックス (bash-3.2-33.AXS3.4) を追加
  ベンダ情報:ミラクル・リナックス (bash-4.1.2-15.AXS4.2) を追加
  ベンダ情報:ヤマハ (GNU Bash 「OS コマンドインジェクション」の脆弱性について) を追加
  ベンダ情報:日本電気 (AV14-003) を追加
  参考情報:関連文書 (株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)) を追加
[2014年10月21日]
  ベンダ情報:オラクル (Multiple vulnerabilities in Bash) を追加
[2014年11月07日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:F5 Networks (SOL15629) を追加
  ベンダ情報:IBM (T1021272) を追加
  ベンダ情報:IBM (1685749) を追加
  ベンダ情報:IBM (1685914) を追加
  ベンダ情報:IBM (1685541) を追加
  ベンダ情報:IBM (S1004915) を追加
  ベンダ情報:IBM (S1004879) を追加
  ベンダ情報:IBM (T1021279) を追加
  ベンダ情報:IBM (S1004897) を追加
  ベンダ情報:IBM (S1004898) を追加
  ベンダ情報:IBM (1686479) を追加
  ベンダ情報:IBM (1686084) を追加
  ベンダ情報:IBM (1685604) を追加
  ベンダ情報:IBM (1685733) を追加
  ベンダ情報:IBM (1686131) を追加
  ベンダ情報:IBM (MIGR-5096315) を追加
  ベンダ情報:Novell (OES11 SP2, OES11SP1, OES2 SP3 vulnerability with GNU Bash Remote Code Execution (aka ShellShock) and Mozilla NSS vulnerabilities) を追加
  ベンダ情報:Novell (ZENworks Configuration Management vulnerability with GNU Bash Remote Code Execution (aka ShellShock)) を追加
  ベンダ情報:VMware (VMSA-2014-0010) を追加
  ベンダ情報:オラクル (Bash "Shellshock" Vulnerabilities - CVE-2014-7169) を追加
  ベンダ情報:シスコシステムズ (cisco-sa-20140926-bash) を追加
  ベンダ情報:シトリックス・システムズ (CTX200217) を追加
  ベンダ情報:シトリックス・システムズ (CTX200223) を追加
  ベンダ情報:ジュニパーネットワークス (JSA10648) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBHF03125 SSRT101724) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03138 SSRT101755) を追加
  ベンダ情報:レッドハット (Bug 1141597) を追加
  ベンダ情報:ブルーコートシステムズ (SA82) を追加
  ベンダ情報:バッファロー (GNU BashにおけるOSコマンドインジェクションの脆弱性) を追加
[2014年11月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:ヒューレット・パッカード (HPSBMU03143 SSRT101761) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03144 SSRT101762) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03131 SSRT101749) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03129 SSRT101760) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03142 SSRT101764) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03141 SSRT101763) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03157 SSRT101718) を追加
  ベンダ情報:IBM (1686447) を追加
  ベンダ情報:レッドハット (RHSA-2014:1354) を追加
  ベンダ情報:QNAP Systems (NAS-201410-05) を追加
  参考情報:JVN iPedia (JVNDB-2014-000126) を追加
  参考情報:JVN (JVN#55667175) を追加
[2014年12月02日]
  ベンダ情報:ヒューレット・パッカード (HPSBMU03182 SSRT101787) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03154 SSRT101747) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03181 SSRT101811) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBST03155 SSRT101747) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03165 SSRT101783) を追加
[2014年12月09日]
  ベンダ情報:ヒューレット・パッカード (HPSBST03148 SSRT101749) を追加
[2015年01月07日]
  ベンダ情報:アイ・オー・データ機器 (GNU bash の脆弱性に関する弊社調査・対応状況について) を追加
[2015年02月02日]
  ベンダ情報:アップル (HT204244) を追加
  ベンダ情報:アップル (APPLE-SA-2015-01-27-4) を追加
  参考情報:JVN (JVNVU#96447236) を追加
[2015年03月27日]
  ベンダ情報:ターボリナックス (TLSA-2014-9) を追加
[2015年04月30日]
  ベンダ情報:IBM (1685433) を追加
  ベンダ情報:IBM (1685522) を追加
  ベンダ情報:IBM (1686493) を追加
  ベンダ情報:IBM (1685798) を追加
  ベンダ情報:IBM (1686299) を追加
  ベンダ情報:IBM (1686635) を追加
[2015年05月27日]
  ベンダ情報:ヒューレット・パッカード (HPSBMU03217 SSRT101827) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03233) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03236 SSRT101830) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03245 SSRT101742) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03246 SSRT101743) を追加
[2015年10月06日]
  ベンダ情報:アップル (HT205267) を追加
  ベンダ情報:アップル (APPLE-SA-2015-09-30-3 OS X El Capitan 10.11) を追加
  参考情報:JVN (JVNVU#97220341) を追加
[2015年12月24日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について) を追加
  ベンダ情報:日立 (bashの脆弱性(CVE-2014-6271,CVE-2014-7169 他)によるHA8500への影響について) を追加