日頃ペガサスIDCをご利用いただきましてありがとうございます。
2014/9/26 12:30 (CST)作成
2014/9/26 17:20 (CST)変更(CVE-2014-7169を追加) (追記部分を緑字で追加)
2014/9/27 0:50 (CST)変更(CentOSのbash該当バージョンの記載を追加) (対応済みサーバーの追加)(追記部分を緑字で追加)
9/26日より各報道期間でアナウンスされておりますとおり、「特別に作成された環境変数を使用した Bash コード挿入の脆弱性 (CVE-2014-6271 & CVE-2014-7169)」による深刻な脆弱性が発見されました。弊社におきましても、調査をさせていただきましたので、ご報告申し上げます。
本文章は下記のインシデントに関してのみを記載したものです。新たな情報が入りましたら随時お伝え致します。
追記:本日第一報時点でお伝えしておりませんでした、CVE-2014-7169の脆弱性も下記の対応方法で対処することが出来るようになりました。重要:17:20 (CST)以前に更新されたお客様は、再度下記の方法で最新のアップデートを行って頂きますようお願い申し上げます。
「特別に作成された環境変数を使用した Bash コード挿入の脆弱性 (CVE-2014-6271)」
「特別に作成された環境変数を使用した Bash コード挿入の脆弱性 ( CVE-2014-7169 )」
対象環境
- Windows以外のすべてのLinuxサーバー
- ApacheなどのWebサーバーを利用
- CGI、PHP、Rubyなどの言語を使って、Bashやshシェルを通して、コマンドを読み込む作りになっている場合
上記に該当する場合早急な対応が必要です。Linuxサーバーをご利用のお客様は、上記に該当しない場合でも、脆弱性がありますので、下記の「対応方法」に掲載している対応をしていただきますようお願い申し上げます。
最悪の可能性
上記の場合、CGI、PHPを通してパスワードなしで、任意のコマンドを実行できるため、非常に深刻度の高い問題です。放置しておきますと、
悪意のある第三者から、ファイルの破壊、削除、改ざん被害を受ける可能性
があります。主なLinuxディストリビューションからはすでに修正パッチが提供されておりますので、該当するお客様は早急な対策が必要になります。
対応が必要なお客様
共用サーバーに関して
調査の結果、弊社提供の共用サーバー(北京)(香港)すべての環境におきまして、調査致しました。
弊社の共用サーバー全タイプにおきまして、9/26日朝までに、該当脆弱性に対する修正パッチを緊急適用しました。
これまでどおりご安心してご利用頂ければ幸いでございます。
エンタープライズメール、ファイルサーバーソリューションに関して
直接攻撃を加えられる状況ではないことを確認しております。念のため、十分な検証を行い、順次パッチの適用をしてまいります。パッチの適用に際しましては再起動を伴うため、事前にご連絡させて頂き、個別に対応させて頂きます。 弊社提供の(北京)(香港)すべての環境におきまして、9/27日までに、該当脆弱性に対する修正パッチを緊急適用しました。これまでどおりご安心してご利用頂ければ幸いでございます。
Root権限つき専用サーバー、クラウドVPSご利用のお客様に関して
共用サーバー、Windowsサーバー、エンタープライズソリューションをご利用以外のすべてのお客様が対象になります。脆弱性に対する対応方法は下記の通りとなります。下記の適用ができないお客様に関しましては、別途有償で、エンジニアによる対策対応をさせて頂きます。弊社サポートまでご連絡くださいますようお願い申し上げます。
対応方法
CentOS / Redhat / Oracle Linux / Fedraをご利用のお客様
rootログイン後下記のコマンドでbashのアップデートを行ってください。
# yum clean all# yum -y update bash
# /sbin/ldconfig
再起動できる環境のお客様は、再起動をされることが推奨されています。
# shutdown -r now
Ubuntu / Debian (squeezeより新しいバージョン)をご利用のお客様
rootログイン後下記のコマンドでbashのアップデートを行ってください。
# apt-get update
# apt-get –only-upgrade install bash
# /sbin/ldconfig
再起動できる環境のお客様は、再起動をされることが推奨されています。
# shutdown -r now
Debian (squeeze)をご利用のお客様
rootログイン後下記のコマンドでbashのアップデートを行ってください。
# vi /etc/apt/sources.list
以下apt lineを最下行に挿入
deb http://ftp.jp.debian.org/debian squeeze-lts main non-free contrib
deb-src http://ftp.jp.debian.org/debian squeeze-lts main non-free contrib# apt-get update
# apt-get –only-upgrade install bash
# /sbin/ldconfig
再起動できる環境のお客様は、再起動をされることが推奨されています。
# shutdown -r now
脆弱性が回避されたことを確認する方法
# env x='() { :;}; echo Mondaiari’ bash -c “echo Checked”
として結果が
○適応されている場合
Checked
であれば適応されています。
×適応されていない場合
Mondaiari
Checked
Mondaiariが表示された場合、本脆弱性があります。いますぐ上記対応方法をご確認の上ご対応ください。
下記のバージョンがインストールされれば成功です
適応後のCentOSのバージョン2014/9/26 23:30現在
| CPU\OS ver. | 5 | 6 |
|---|---|---|
| i386 | bash-3.2-33.el5_10.4.i386.rpm | bash-4.1.2-15.el6_5.2.i686.rpm |
| x86_64 | bash-3.2-33.el5_10.4.x86_64.rpm | bash-4.1.2-15.el6_5.2.x86_64.rpm |
上記の適用ができないお客様に関しましては、別途有償で、エンジニアによる対策対応をさせて頂きます。弊社サポートまでご連絡くださいますようお願い申し上げます。
新たな情報が入りましたらこの場で随時お伝え致してまいります。
参考リンク
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
今後ともサービスの向上に努めて参りますのでどうぞよろしくお願い申し上げます。
以上
この文書に記載された情報は、論点についての発行時における Absolute Zero ltd. の見解です。 Absolute Zero ltd. は移り変わる市場の状況に対応する必要があるため、この見解は Absolute Zero ltd.の確約であると解釈されるべきではなく、 Absolute Zero ltd. は発行日以後、本書に記載されたいかなる情報の正確性も保証できません。この文書は、情報提供のみを目的としています。この文書内の情報は、明示的にも暗 示的にも Absolute Zero ltd. が保証するものではありません。
