【活用ガイド】

JVNDB-2014-004476

GNU bash における任意のコマンドを実行される脆弱性

概要

GNU bash は、環境変数の値の関数定義を適切に解析しないため、任意のコマンドを実行される脆弱性が存在します。

本脆弱性は、CVE-2014-6271、CVE-2014-7169、および CVE-2014-6277 に対する修正が不十分だったことによる脆弱性です。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


GNU Project
  • bash 4.3 bash43-026 まで

本脆弱性の影響を受ける製品の詳細については、各ベンダの提供する情報をご確認ください。

・日本電気製品の詳細: AV14-003
・富士通製品の詳細:「GNU Bash に OS コマンドインジェクションの脆弱性」への富士通製品の対応について
・VMware 製品の詳細: VMSA-2014-0010
・オラクル製品の詳細: Bash "Shellshock" Vulnerabilities - CVE-2014-7169
・シスコシステムズ製品の詳細: cisco-sa-20140926-bash
・ヒューレット・パッカード製品の詳細: HPSBST03122 SSRT101717
・日立製品の詳細:サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について
想定される影響

第三者により、巧妙に細工された環境を介して、任意のコマンドを実行される可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

Debian F5 Networks GNU Project IBM Novell QNAP Systems VMware アライドテレシス オラクル シスコシステムズ シトリックス・システムズ ジュニパーネットワークス ターボリナックス バッファロー ヒューレット・パッカード ブルーコートシステムズ
  • Security Advisories : SA82
ミラクル・リナックス ヤマハ レッドハット 株式会社アイ・オー・データ機器 日本電気
  • NEC製品セキュリティ情報 : AV14-003
日立 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. OSコマンドインジェクション(CWE-78) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-6278
参考情報

  1. JVN : JVNVU#97219505
  2. JVN : JVN#55667175
  3. JVN iPedia : JVNDB-2014-000126
  4. National Vulnerability Database (NVD) : CVE-2014-6278
  5. IPA 重要なセキュリティ情報 : bash の脆弱性対策について(CVE-2014-6271 等)
  6. JPCERT 注意喚起 : JPCERT-AT-2014-0037
  7. US-CERT Vulnerability Note : VU#252743
  8. US-CERT Technical Cyber Security Alert : TA14-268A
  9. 関連文書 : Bash bug: apply Florian's patch now (CVE-2014-6277 and CVE-2014-6278)
  10. 関連文書 : 株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)
更新履歴

  • [2014年10月01日]
      掲載
    [2014年10月06日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
      ベンダ情報:ミラクル・リナックス (bash-3.2-33.AXS3.4) を追加
      ベンダ情報:ミラクル・リナックス (bash-4.1.2-15.AXS4.2) を追加
      ベンダ情報:ヤマハ (GNU Bash 「OS コマンドインジェクション」の脆弱性について) を追加
      ベンダ情報:日本電気 (AV14-003) を追加
      参考情報:関連文書 (株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)) を追加
    [2014年10月21日]
      ベンダ情報:オラクル (Multiple vulnerabilities in Bash) を追加
    [2014年11月10日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:F5 Networks (SOL15629) を追加
      ベンダ情報:IBM (T1021272) を追加
      ベンダ情報:IBM (1685749) を追加
      ベンダ情報:IBM (1685914) を追加
      ベンダ情報:IBM (1685541) を追加
      ベンダ情報:IBM (S1004915) を追加
      ベンダ情報:IBM (S1004879) を追加
      ベンダ情報:IBM (T1021279) を追加
      ベンダ情報:IBM (S1004897) を追加
      ベンダ情報:IBM (S1004898) を追加
      ベンダ情報:IBM (1686479) を追加
      ベンダ情報:IBM (1685604) を追加
      ベンダ情報:IBM (1685733) を追加
      ベンダ情報:IBM (1686131) を追加
      ベンダ情報:IBM (MIGR-5096315) を追加
      ベンダ情報:Novell (OES11 SP2, OES11SP1, OES2 SP3 vulnerability with GNU Bash Remote Code Execution (aka ShellShock) and Mozilla NSS vulnerabilities) を追加
      ベンダ情報:Novell (ZENworks Configuration Management vulnerability with GNU Bash Remote Code Execution (aka ShellShock)) を追加
      ベンダ情報:Novell (ShellShock 101 - What you need to know and do, to ensure your systems are secure) を追加
      ベンダ情報:VMware (VMSA-2014-0010) を追加
      ベンダ情報:オラクル (Bash "Shellshock" Vulnerabilities - CVE-2014-7169) を追加
      ベンダ情報:シスコシステムズ (cisco-sa-20140926-bash) を追加
      ベンダ情報:シトリックス・システムズ (CTX200217) を追加
      ベンダ情報:シトリックス・システムズ (CTX200223) を追加
      ベンダ情報:ジュニパーネットワークス (JSA10648) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03122 SSRT101717) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBHF03125 SSRT101724) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBGN03138 SSRT101755) を追加
      ベンダ情報:ブルーコートシステムズ (SA82) を追加
      ベンダ情報:バッファロー (GNU BashにおけるOSコマンドインジェクションの脆弱性) を追加
    [2014年11月27日]
      ベンダ情報:ヒューレット・パッカード (HPSBST03129 SSRT101760) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBGN03141 SSRT101763) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBGN03142 SSRT101764) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03144 SSRT101762) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBHF03145 SSRT101765) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03143 SSRT101761) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBHF03146 SSRT101765) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03157 SSRT101718) を追加
      ベンダ情報:QNAP Systems (NAS-201410-05) を追加
      参考情報:JVN iPedia (JVNDB-2014-000126) を追加
      参考情報:JVN (JVN#55667175) を追加
    [2014年12月02日]
      ベンダ情報:ヒューレット・パッカード (HPSBMU03182 SSRT101787) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03154 SSRT101747) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03181 SSRT101811) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03155 SSRT101747) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03165 SSRT101783) を追加
    [2014年12月26日]
      ベンダ情報:オラクル (ELSA-2014-3093) を追加
      ベンダ情報:オラクル (ELSA-2014-3094) を追加
    [2015年01月07日]
      ベンダ情報:アイ・オー・データ機器 (GNU bash の脆弱性に関する弊社調査・対応状況について) を追加
    [2015年03月27日]
      ベンダ情報:ターボリナックス (TLSA-2014-10) を追加
    [2015年04月30日]
      ベンダ情報:IBM (1685433) を追加
      ベンダ情報:IBM (1685522) を追加
      ベンダ情報:IBM (1686493) を追加
      ベンダ情報:IBM (1685798) を追加
      ベンダ情報:IBM (1686299) を追加
      ベンダ情報:IBM (1686635) を追加
    [2015年05月27日]
      ベンダ情報:ヒューレット・パッカード (HPSBMU03217 SSRT101827) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBGN03233) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03245 SSRT101742) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03246 SSRT101743) を追加
    [2015年12月24日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について) を追加
      ベンダ情報:日立 (bashの脆弱性(CVE-2014-6271,CVE-2014-7169 他)によるHA8500への影響について) を追加