bash の脆弱性 (CVE-2014-6271,CVE-2014-7169) に関する注意喚起

2014/9/25 (木） 更新

平素は弊社サービスをご利用いただきましてありがとうございます。

　このたび、多くのLinux系OSで標準的に使われるシェル(ユーザからの操作を受け付け、結果を表示するソフトウェア) の一つである「bash」にリモートから任意のコマンドが実行される可能性のある脆弱性が公表されましたため、 問題の概要と弊社における対応について下記の通りご案内いたします。

本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

2014/9/26 (金） 更新

本脆弱性の適用作業では、OSやミドルウェアの再起動は必要ありません。

問題の概要

RedHat Enterprise Linux もしくは CentOS に含まれる bash パッケージをご利用のサーバにおいて、遠隔の第三者によってリモートから任意のコマンドが実行される可能性がございます。

この脆弱性には、CVE 識別番号として CVE-2014-6271及びCVE-2014-7169 が割り当てられています。

CVE-2014-6271

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

CVE-2014-7169

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

詳細に関しましては、以下の情報もご参照ください。

CVE-2014-6271 bash: specially-crafted environment variables can be used to inject shell commands

https://access.redhat.com/security/cve/CVE-2014-6271

CVE-2014-7169 bash: Code execution via specially-crafted environment (Incomplete fix for CVE-2014-6271)

https://access.redhat.com/security/cve/CVE-2014-7169

What is the CVE-2014-6271 bash vulnerability, and how do I fix it?

http://askubuntu.com/questions/528101/what-is-the-cve-2014-6271-bash-vulnerability-and-how-do-i-fix-it

影響を受けるOSとサーバ

Linux系 OS を使用しているほぼ全てのサーバが対象となります。
クララオンラインで主に提供しているOSは以下の通りです。

• RHEL4 ELS
• CentOS5 / RHEL5
• CentOS6 / RHEL6
• CentOS7 / RHEL7

※2014年9月25日現在の情報となります。
※RHEL4は有償サポート延長プログラムをご購入のお客様のみがアップデート可能となります。
※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、
アップデートはできません。
※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。

対応策

　OS のディストリビュータである Red Hat 社および CentOS より、本脆弱性を修正した パッケージが提供されしだい、弊社にて bash パッケージのアップデート作業を実施いたします。

CVE-2014-6271 の修正パッケージはリリースされましたが、CVE-2014-7169 の脆弱性の修正パッケージは まだリリースされておりませんので、リリースされ次第弊社でのアップデート作業を実施させていただきます。

弊社でのアップデート作業を待たずにお客様にて作業を実施していただくことも 可能です。

お客様による bash アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージを ダウンロードいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による bash アップデート方法をご参照ください。

お客様による bash アップデート方法

クララオンラインでの bash アップデート作業

bash パッケージ更新の流れは以下になりますので、ご確認ください。

1. パッケージ更新 ＜弊社作業＞

2014年09月26日（金）午前10時以降に弊社にてパッケージの更新を実施致します。

• 特に申請をいただく必要はございません。
• 実施時間はご指定いただけません。あらかじめご了承下さい。
• 開始時点で CVE-2014-7169 の脆弱性修正パッケージが未リリースの場合は、 実施開始時間を延期させていただく場合があります。
• 弊社での作業実施を希望されないお客様は、 2014年09月26日(金)午前10時までに本メールの返信にてご連絡をお願い致します。

– 連絡先 security-updates@clara.ad.jp – 連絡項目 お客様番号： お客様名 ： ホスト名 ： IPアドレス： ご希望内容： ※ご依頼はご登録担当者様よりお願いいたします。