Shellshock - bash脆弱性(CVE-2014-6271、CVE-2014-7169)の対応について

このドキュメント (7015702J) の最後に記載の 免責条項 に基づき提供されています。

環境

SLES(SUSE Linux Enterprise Server) 9, 10, 11

概要

SUSEは、SLES製品に付属するBash パッケージのすべてのバージョンに影響するbash脆弱性(CVE-2014-6271、CVE-2014-7169)について報告を受けました。
この脆弱性では、細工した環境変数を介して恣意的なBashコードを実行できることが指摘されています。
非認証のリモートの攻撃者は、この脆弱性を悪用することで、特定のサービスやアプリケーションに影響を及ぼすことが可能となります。

 

状況:

本脆弱性に対応するパッチがシステムに適用されているかどうかを確認するために、以下のようなコマンドを使ってテストできます。

$ hello() { echo hello; } ; export -f hello ; env|grep hello

お使いのbashが本脆弱性の影響を受ける場合、以下のように出力されます。

hello=() { echo hello

本脆弱性に対応するパッチがシステムにすでに適用されている場合、以下のように出力されます。

BASH_FUNC_hello()=() { echo hello

 

なお、以下は、本脆弱性の影響を受ける可能性がある主なアプリケーションになります。
- HTTP サーバ(mod_cgi あるいは、mod_cgid から起動される CGI プログラム)
- Secure Shell (SSH)
- DHCP クライアント
など

 

参考:
CVE-2014-6271 & CVE-2014-7169 - Shellshock
https://www.suse.com/support/kb/doc.php?id=7015702

GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html

Vulnerability Summary for CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

Vulnerability Summary for CVE-2014-7169
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169

解決策

SLES製品のbash脆弱性(CVE-2014-6271、CVE-2014-7169)につきまして、弊社よりセキュリティパッチをリリースしております。

SLE, Bash CVE-2014-7169, CVE-2014-6271 patch
https://download.suse.com/Download?buildid=nNXClbWqawg~

本脆弱性のセキュリティパッチ適用後、以下のような結果が出力されます。

$ hello() { echo hello; } ; export -f hello ; env|grep hello
BASH_FUNC_hello()=() { echo hello

 

補足事項:
通常、ジェネラルサポート期間が終了したSLES製品のパッチの入手はLTSS契約(*1)が必要になります。
弊社では、本脆弱性の重要度および影響等を考慮し、特別措置として、LTSS契約をお持ちにならないお客様でもアクティブなサブスクリプションをお持ちであれば、本脆弱性のbashのセキュリティパッチを提供する方針とさせていただきました。

 

(*1) LTSS契約について

弊社のSLESサポート契約では、LTSS(長期サービスパックサポート)と呼ばれるサポート契約がございます(別途購入が必要)。
LTSSは、開発部門からのサポートや重要な不具合修正のサポートも行っており、ジェネラルサポート期間終了後、12カ月単位でサポート期間を12~36カ月延長することが可能です。

長期サービスパックサポート
https://www.suse.com/ja-jp/support/programs/long-term-service-pack-support.html

免責条項

このサポート ナレッジベースは、NetIQ/Novell/SUSE顧客、および弊社製品およびそのソリューションに関心のあるパーティへ、情報やアイデアの取得およびそれらの知識を得る為の有効なツールを提供します。 本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。

  • ドキュメント ID:7015702J
  • 作成年月日:07-OCT-14
  • 修正年月日:07-OCT-14
    • SUSESUSE Linux Enterprise Server

このドキュメントはあなたの問題を解決しましたか? フィードバックを送る

SUSEサポートフォーラム

経験豊富なシステムオペレーターへの質問を投稿したり、他のSUSEコミュニティのエキスパートと交流したりすることができます。

コミュニティに参加

サポートリソース

このガイドラインでは、SUSEサブスクリプション、Premium Support、教育機関向けプログラム、またはパートナープログラムで提供されるテクニカルサポートの活用方法について説明します。


SUSE Technical Support Handbook Update Advisories
サポートに関するFAQ

インシデントを開く

テクニカルサポートへのインシデントの報告、サブスクリプションの管理、パッチのダウンロード、ユーザーアクセスの管理を行うことができます。

カスタマーセンターにアクセス