最終更新日:2014年10月10日
本ページは、2014年9月に公となりました GNU Bash のセキュリティホール(CVE-2014-6271 等)(通称、Shellshock)の情報についてまとめたものです。内容は適宜更新します。
概要
GNU Bash は、環境変数の処理が原因でセキュリティホールが存在します。
このセキュリティホールを利用された場合、細工された環境変数を Bash で評価することによって、意図していない任意のコマンドを実行される可能性があります。またリモートからの入力を環境変数へセットし、シェル経由でコマンドを実行するようなアプリケーションを使用している場合、リモートから任意のコマンドを実行される可能性があります。これには Apache httpd の mod_cgi 環境下で動作しシェル経由で外部コマンドを実行する CGI プログラムや、CUPS, dhclient などが該当します。
既に攻撃コードが公開されており、容易にセキュリティホールを悪用できる状態です。警察庁は 9月25日、定点観測システムにおいてこのセキュリティホールを標的としたアクセスの増加が確認されたとして注意喚起を行いました。
CVE-2014-6271 および CVE-2014-7169 の修正が不完全のため、新たに CVE-2014-6277 が割り振られました。 (9/30 追加)
JPCERT/CC は 10月10日、Webmin の標準ポートである 10000/tcp ポートへのスキャンの増加について注意喚起を行いました。また警察庁からも「Bashの脆弱性を標的としたアクセスの観測について(第2報)」において同様の報告がなされています。詳細についてはリンク先をご覧ください。 (10/10 追加)
影響範囲
リモートからの入力を環境変数へセットし、シェル経由でコマンドを実行するようなアプリケーションを使用している場合に、このセキュリティホールの影響を受けます。影響を受ける環境については 表-1 を参照してください。 (なお、表-1 に記載されているアプリケーションに今回のセキュリティホールが存在するわけではありません。)
| アプリケーション | 影響の有無 |
|---|---|
OpenSSH
|
影響あり |
Apache httpd
|
影響あり |
Apache httpd
|
影響なし |
| CUPS | 影響あり |
| Postfix | 影響あり |
| DHCP clients | 影響あり |
| sudo | 影響あり |
アプリケーションで明示的にシェルを使用している場合
|
影響あり |
PHP
|
影響なし |
対処方法
-
Bash を最新版にアップデートしてください。
各ベンダの対応状況については、表-2 を参照してください。
-
WAF を利用して不正なリクエストを遮断することで、Web アプリケーションを経由したセキュリティホールの悪用を軽減できます。次のような文字列をパラメータまたはヘッダに含むリクエストを遮断してください。
() {
セキュリティホールの詳細 (10/3 追加)
CVE-2014-6271
リモートからの入力を環境変数へセットし、シェル経由でコマンドを実行するようなアプリケーションを使用している場合、リモートから任意のコマンドを実行される可能性があります。
環境変数の検証を適切に行っていないため、任意のコマンドを挿入できることが原因です。
CVE-2014-7169
リモートからの入力を環境変数へセットし、シェル経由でコマンドを実行するようなアプリケーションを使用している場合、リモートから任意のコマンドを実行される可能性があります。
環境変数の検証を適切に行っていないため、任意のコマンドを挿入できることが原因です。
CVE-2014-6277
リモートからの入力を環境変数へセットし、シェル経由でコマンドを実行するようなアプリケーションを使用している場合、リモートから任意のコードを実行される可能性があります。
関数定義を適切に解析していないため、初期化されていないメモリ領域へのアクセスなどを起こすことが原因です。
CVE-2014-6278
リモートからの入力を環境変数へセットし、シェル経由でコマンドを実行するようなアプリケーションを使用している場合、リモートから任意のコマンドを実行される可能性があります。
関数定義を適切に解析していないため、任意のコマンドを挿入できることが原因です。
CVE-2014-7186
細工されたシェルスクリプトを Bash で実行することによって、意図していないコードを実行される可能性があります。(なおこのセキュリティホールの危険性は、発見者である Red Hat 社の評価は任意のコード実行ですが、NVD の評価ではサービス妨害に留まっています。)
リダイレクトに利用する変数のサイズが適切でないため、細工されたヒアドキュメントを処理することでオーバーフローを引き起こす可能性のあることが原因です。
CVE-2014-7187
細工されたシェルスクリプトを Bash で実行することによって、意図していないコードを実行される可能性があります。(なおこのセキュリティホールの危険性は、発見者である Red Hat 社の評価は任意のコード実行ですが、NVD の評価ではサービス妨害に留まっています。)
フロー制御構文の FOR ループのネストの深さを適切にチェックしていないため、使用する範囲外のメモリ領域にアクセスする可能性のあることが原因です。
関連情報
- Common Vulnerabilities and Exposures (CVE) (10/3 追加)
CVE-2014-7186 - Common Vulnerabilities and Exposures (CVE) (10/3 追加)
CVE-2014-7187 - Common Vulnerabilities and Exposures (CVE) (10/1 追加)
CVE-2014-6278 - Common Vulnerabilities and Exposures (CVE) (9/30 追加)
CVE-2014-6277 - Common Vulnerabilities and Exposures (CVE)
CVE-2014-7169 - Common Vulnerabilities and Exposures (CVE)
CVE-2014-6271 - Red Hat Security Blog
Bash specially-crafted environment variables code injection attack (英文) - Red Hat Articles
Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) (英文) - US-CERT Vulnerability Note
VU#252743 GNU Bash shell executes commands in environment variables (英文) - US-CERT Alert
TA14-268A GNU Bourne Again Shell (Bash) 'Shellshock' Vulnerability (CVE-2014-6271, CVE-2014-7169) (英文) - JPCERT/CC
GNU bash の脆弱性に関する注意喚起 - JPCERT/CC (10/10 追加)
TCP 10000番ポートへのスキャンの増加に関する注意喚起 - Japan Vulnerability Notes
JVNVU#97219505 GNU Bash に OS コマンドインジェクションの脆弱性 - IPA
bash の脆弱性対策について(CVE-2014-6271 等) - 警察庁 (10/9 追加)
Bashの脆弱性を標的としたアクセスの観測について(第2報) - 警察庁
Bashの脆弱性を標的としたアクセスの観測について - lcamtuf' blog (9/30 追加)
Bash bug: apply Florian's patch now (CVE-2014-6277 and CVE-2014-6278) (英文) - lcamtuf' blog (10/3 追加)
Bash bug: the other two RCEs, or how we chipped away at the original fix (CVE-2014-6277 and '78) (英文) - Red Hat (10/3 追加)
Red Hat Enterprise Linux で 特別に作成された環境変数を使用した Bash コード挿入の脆弱性問題の解決方法 (CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、CVE-2014-6278)
関連ニュース
- CNET (10/7 追加)
米ヤフー、「Shellshock」脆弱性によるハッカー攻撃の指摘受け回答 (2014/10/07) - CNET (10/3 追加)
「bash」脆弱性対応の「OS X」アップデートは不完全:セキュリティ研究者が指摘 (2014/10/02) - ITPro (10/3 追加)
「ShellShock」は公式パッチでは不十分、JPCERT/CCが追加の注意喚起 (2014/09/30) - CNET (9/30 追加)
「Shellshock」脆弱性、セキュリティ企業が事例など報告 (2014/09/30) - CNET (9/30 追加)
アップル、「OS X」のアップデートを公開--「Bash」脆弱性に対応 (2014/09/30) - Impress (9/30 追加)
Apple、「bash」の脆弱性を修正するOS Xアップデートを公開 (2014/09/30) - CNET (9/30 追加)
Bashの脆弱性、「Mac」ユーザーの圧倒的大多数に影響なし--アップルがコメント (2014/09/29) - ITPro (9/30 追加)
重大な脆弱性Shellshock、「ほとんどのOS Xユーザーは安全」とApple (2014/09/29) - ITPro (9/30 追加)
危なすぎるBashの脆弱性「Shellshock」、深刻な事態になる前に対策を (2014/09/29) - Impress
bashの脆弱性を狙う攻撃が発生、サーバー管理者は対策の実施を (2014/09/26) - ITPro
「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も (2014/09/26) - Impress
「bash」に危険度の高い脆弱性、修正パッチの適用と回避策の実施を (2014/09/25) - CNET
UNIXとLinuxの「Bash」シェルに重大なセキュリティホール (2014/09/25)
更新履歴
-
2014/10/10
・ 概要に Webmin の標準ポートへのスキャン増加について追記しました。
・ 関連情報に「TCP 10000番ポートへのスキャンの増加に関する注意喚起」 を追加しました。
・ 対処方法の「表-2. 各製品ベンダの対応状況」を更新しました。
-
2014/10/9
・ 関連情報に「Bashの脆弱性を標的としたアクセスの観測について(第2報)」 を追加しました。
-
2014/10/8
・ 対処方法の「表-2. 各製品ベンダの対応状況」を更新しました。
-
2014/10/7
・ 対処方法の「表-2. 各製品ベンダの対応状況」を更新しました。
・ 関連ニュースを更新しました。
-
2014/10/3
・ 関連情報に「CVE-2014-7186」 を追加しました。
・ 関連情報に「CVE-2014-7187」 を追加しました。
・ 関連情報に「lcamtuf' blog 」へのリンクを追加しました。
・ 関連情報に「Red Hat 」へのリンクを追加しました。
・ 「問題の原因」を削除し、「セキュリティホールの詳細」を追加しました。
・ 対処方法の「表-2. 各製品ベンダの対応状況」を更新しました。
・ 関連ニュースを更新しました。
-
2014/10/1
・ 「CVE-2014-6278」 を追加しました。
・ 「表-2. 各製品ベンダの対応状況」に SUSE Linux 他を追加しました。
-
2014/9/30
・ 「CVE-2014-6277」 を追加しました。
・ 「lcamtuf' blog」 へのリンクを追加しました。
・ 「表-2. 各製品ベンダの対応状況」を追加しました。
・ 関連ニュースを更新しました。
-
2014/9/26
・ 公開
本ページの情報は、無保証で「As is」(現状のまま)として提供します。本ページの情報は、ご利用者様の責任においてご利用ください。本ページにおける当社が提供する情報及びその他の情報に基づいたページ利用者様の行為により、いかなる付随・必然の損害が生じた場合でも、当社はその法的債務あるいは法的責任を負うものではありません。また、当社は本ページにおいて提供する情報の正確性、完全性および有用性に対し、明示的にも暗黙的にもいかなる保証を行うものではなく、いかなる法的債務あるいは法的責任を負うものではありません。