Bash の脆弱性に関しまして、9月24日~10月5日までに以下の
6つのセキュリティーアラート及び修正が出ております。
CVE-2014-6271,CVE-2014-7169,CVE-2014-7186
CVE-2014-7187,CVE-2014-6277,CVE-2014-6278
詳細はこちら
JPCERT/CC による GNU bash の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2014/at140037.html
本件の問題点と対策は以下の通りです。
■Bash の脆弱性問題点要約
Bash の環境変数の処理には脆弱性があり、外部からの入力が Bash の環境変数に設定される環境において、遠隔の第三者によって任意のコードが実行される可能性があるとのことです。
■必要な対策
問題があるのは Bash の以下のバージョンです。
Bash 4.3 Patch 28 およびそれ以前
Bash 4.2 Patch 51 およびそれ以前
Bash 4.1 Patch 15 およびそれ以前
Bash 4.0 Patch 42 およびそれ以前
Bash 3.2 Patch 55 およびそれ以前
Bash 3.1 Patch 21 およびそれ以前
Bash 3.0 Patch 20 およびそれ以前
当サービスで圧倒的多数である CentOS の場合は、以下で修正済み。
bash-4.1.2-15.el6_5.1
当サービスのお客様の Bash のバージョンを確認し、問題のバージョンであれば修正版へアップデートを実施します。
アップデートの際にサーバーおよびサービスは一切停止しません。
■実施日時
2014年10月11日以降、随時 ~ 1週間以内