JVNDB-2014-004410
|
GNU bash における任意のコードを実行される脆弱性
|
GNU bash は、環境変数の値の関数定義の後で末尾の文字列を処理するため、任意のコードを実行される脆弱性が存在します。
|
CVSS v3 による深刻度 基本値: 9.8 (緊急) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度 基本値: 10.0 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
GNU Project
|
本脆弱性の影響を受ける製品の詳細については、各ベンダの提供する情報をご確認ください。
・日本電気製品の詳細: AV14-003
・富士通製品の詳細:「GNU Bash に OS コマンドインジェクションの脆弱性」への富士通製品の対応について
・VMware 製品の詳細: VMSA-2014-0010
・アップル製品の詳細: HT6495、HT6535
・オラクル製品の詳細: Bash "Shellshock" Vulnerabilities - CVE-2014-7169
・シスコシステムズ製品の詳細: cisco-sa-20140926-bash
・ヒューレット・パッカード製品の詳細: HPSBGN03117 SSRT101724 他
・日立製品の詳細:サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について 他
|
第三者により、巧妙に細工された環境を介して、任意のコードを実行される可能性があります。
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
F5 Networks
GNU Project
IBM
Novell
QNAP Systems
VMware
アップル
アライドテレシス
ウェブセンス
オラクル
サイバートラスト株式会社
シスコシステムズ
シトリックス・システムズ
ジュニパーネットワークス
ターボリナックス
チェック・ポイント・ソフトウェア・テクノロジーズ
バッファロー
ヒューレット・パッカード
ブルーコートシステムズ
- Security Advisories : SA82
ヤマハ
レッドハット
株式会社アイ・オー・データ機器
日本電気
日立
富士通
|
- OSコマンドインジェクション(CWE-78) [NVD評価]
|
- CVE-2014-6271
|
- JVN : JVNVU#97219505
- JVN : JVN#55667175
- JVN : JVNVU#97537282
- JVN iPedia : JVNDB-2014-000126
- National Vulnerability Database (NVD) : CVE-2014-6271
- IPA 重要なセキュリティ情報 : bash の脆弱性対策について(CVE-2014-6271 等)
- JPCERT 注意喚起 : JPCERT-AT-2014-0037
- US-CERT Vulnerability Note : VU#252743
- US-CERT Technical Cyber Security Alert : TA14-268A
- CISA Known Exploited Vulnerabilities Catalog : CVE-2014-6271
- ICS-CERT ADVISORY : ICSA-15-344-01
- ICS-CERT ADVISORY : ICSA-14-269-01A
- 関連文書 : 株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)
- 関連文書 : APPLE-SA-2014-10-16-1 OS X Yosemite v10.10
- 関連文書 : MGASA-2014-0388
|
- [2014年09月29日]
掲載
[2014年09月30日]
ベンダ情報:レッドハット (RHSA-2014:1293) を追加
ベンダ情報:レッドハット (RHSA-2014:1294) を追加
ベンダ情報:レッドハット (Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) in Red Hat Enterprise Linux) を追加
ベンダ情報:富士通 (GNU Bash に OS コマンドインジェクションの脆弱性) を追加
[2014年10月06日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
ベンダ情報:ミラクル・リナックス (bash-3.2-33.AXS3.4) を追加
ベンダ情報:ミラクル・リナックス (bash-4.1.2-15.AXS4.2) を追加
ベンダ情報:ヤマハ (GNU Bash 「OS コマンドインジェクション」の脆弱性について) を追加
ベンダ情報:日本電気 (AV14-003) を追加
参考情報:関連文書 (株式会社アラタナ の告知ページ (GNU bash脆弱性への弊社対応状況について)) を追加
[2014年10月21日]
ベンダ情報:オラクル (Multiple vulnerabilities in Bash) を追加
[2014年10月28日]
参考情報:JVN (JVN#55667175) を追加
[2014年11月07日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:F5 Networks (SOL15629) を追加
ベンダ情報:IBM (T1021272) を追加
ベンダ情報:IBM (1685749) を追加
ベンダ情報:IBM (1685914) を追加
ベンダ情報:IBM (1685541) を追加
ベンダ情報:IBM (S1004915) を追加
ベンダ情報:IBM (S1004879) を追加
ベンダ情報:IBM (T1021279) を追加
ベンダ情報:IBM (S1004897) を追加
ベンダ情報:IBM (S1004898) を追加
ベンダ情報:IBM (1686479) を追加
ベンダ情報:IBM (1686084) を追加
ベンダ情報:IBM (1685604) を追加
ベンダ情報:IBM (1685733) を追加
ベンダ情報:IBM (1686131) を追加
ベンダ情報:IBM (MIGR-5096315) を追加
ベンダ情報:Novell (OES11 SP2, OES11SP1, OES2 SP3 vulnerability with GNU Bash Remote Code Execution (aka ShellShock) and Mozilla NSS vulnerabilities) を追加
ベンダ情報:Novell (CVE-2014-6271) を追加
ベンダ情報:Novell (ZENworks Configuration Management vulnerability with GNU Bash Remote Code Execution (aka ShellShock)) を追加
ベンダ情報:Novell (ShellShock 101 - What you need to know and do, to ensure your systems are secure) を追加
ベンダ情報:Novell (SUSE-SU-2014:1223) を追加
ベンダ情報:VMware (VMSA-2014-0010) を追加
ベンダ情報:アップル (HT6495) を追加
ベンダ情報:アップル (HT6535) を追加
ベンダ情報:オラクル (Bash "Shellshock" Vulnerabilities - CVE-2014-7169) を追加
ベンダ情報:シスコシステムズ (cisco-sa-20140926-bash) を追加
ベンダ情報:シトリックス・システムズ (CTX200217) を追加
ベンダ情報:シトリックス・システムズ (CTX200223) を追加
ベンダ情報:ジュニパーネットワークス (JSA10648) を追加
ベンダ情報:ヒューレット・パッカード (HPSBGN03117 SSRT101724) を追加
ベンダ情報:ヒューレット・パッカード (HPSBHF03119 SSRT101725) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03122 SSRT101717) を追加
ベンダ情報:ヒューレット・パッカード (HPSBHF03124 SSRT101728) を追加
ベンダ情報:ヒューレット・パッカード (HPSBHF03125 SSRT101724) を追加
ベンダ情報:ヒューレット・パッカード (HPSBGN03138 SSRT101755) を追加
ベンダ情報:レッドハット (RHSA-2014:1295) を追加
ベンダ情報:ブルーコートシステムズ (SA82) を追加
ベンダ情報:バッファロー (GNU BashにおけるOSコマンドインジェクションの脆弱性) を追加
参考情報:JVN (JVNVU#97537282) を追加
参考情報:関連文書 (APPLE-SA-2014-10-16-1 OS X Yosemite v10.10 ) を追加
[2014年11月27日]
ベンダ情報:ヒューレット・パッカード (HPSBMU03143 SSRT101761) を追加
ベンダ情報:ヒューレット・パッカード (HPSBMU03144 SSRT101762) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03131 SSRT101749) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03129 SSRT101760) を追加
ベンダ情報:ヒューレット・パッカード (HPSBGN03142 SSRT101764) を追加
ベンダ情報:ヒューレット・パッカード (HPSBGN03141 SSRT101763) を追加
ベンダ情報:ヒューレット・パッカード (HPSBHF03146 SSRT101765) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03157 SSRT101718) を追加
ベンダ情報:ヒューレット・パッカード (HPSBHF03145 SSRT101765) を追加
ベンダ情報:IBM (1686447) を追加
ベンダ情報:レッドハット (RHSA-2014:1354) を追加
ベンダ情報:QNAP Systems (NAS-201410-05) を追加
参考情報:JVN iPedia (JVNDB-2014-000126) を追加
[2014年12月09日]
ベンダ情報:ヒューレット・パッカード (HPSBST03148 SSRT101749) を追加
[2015年01月07日]
ベンダ情報:アイ・オー・データ機器 (GNU bash の脆弱性に関する弊社調査・対応状況について) を追加
[2015年03月27日]
ベンダ情報:ターボリナックス (TLSA-2014-9) を追加
[2015年04月30日]
ベンダ情報:IBM (1685433) を追加
ベンダ情報:IBM (1685522) を追加
ベンダ情報:IBM (1686493) を追加
ベンダ情報:IBM (1685798) を追加
ベンダ情報:IBM (1686299) を追加
ベンダ情報:IBM (1686635) を追加
[2015年05月27日]
ベンダ情報:ウェブセンス (Vulnerabilities resolved in TRITON APX Version 8.0) を追加
ベンダ情報:ヒューレット・パッカード (HPSBMU03217 SSRT101827) を追加
ベンダ情報:ヒューレット・パッカード (HPSBOV03228 SSRT101711) を追加
ベンダ情報:ヒューレット・パッカード (HPSBGN03233) を追加
ベンダ情報:ヒューレット・パッカード (HPSBMU03245 SSRT101742) を追加
ベンダ情報:ヒューレット・パッカード (HPSBMU03246 SSRT101743) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03265 SSRT101905) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03196 SSRT101816) を追加
ベンダ情報:ヒューレット・パッカード (HPSBMU03220 SSRT101819) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03195 SSRT101835) を追加
ベンダ情報:ヒューレット・パッカード (HPSBMU03133 SSRT101733) を追加
ベンダ情報:ヒューレット・パッカード (HPSBMU03165 SSRT101783) を追加
ベンダ情報:ヒューレット・パッカード (HPSBMU03182 SSRT101787) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03154 SSRT101747) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03155 SSRT101747) を追加
ベンダ情報:ヒューレット・パッカード (HPSBST03181 SSRT101811) を追加
ベンダ情報:IBM (1686246) を追加
ベンダ情報:IBM (1686445) を追加
ベンダ情報:IBM (1686494) を追加
ベンダ情報:IBM (1687079) を追加
ベンダ情報:IBM (T1021361) を追加
ベンダ情報:チェック・ポイント・ソフトウェア・テクノロジーズ (sk102673) を追加
参考情報:関連文書 (MGASA-2014-0388) を追加
[2015年12月22日]
参考情報:ICS-CERT ADVISORY (ICSA-15-344-01) を追加
[2015年12月24日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日立 (サーバ・クライアント製品 bashの脆弱性(CVE-2014-6271,CVE-2014-7169他)による影響について) を追加
ベンダ情報:日立 (bashの脆弱性(CVE-2014-6271,CVE-2014-7169 他)によるHA8500への影響について) を追加
- [2024年07月17日]
参考情報:ICS-CERT ADVISORY (ICSA-14-269-01A) を追加
|