bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も – ITmedia エンタープライズ

bashの脆弱性について、追加の脆弱性が公表され(CVE-2014-7169)、そちらはパッチが未提供。
bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も – ITmedia エンタープライズ2014年09月26日 07時10分 更新

9月24日に公開されたbashのパッチは不完全だったことが分かった。既に脆弱性を突く攻撃が出回っているとの報告もある。
 LinuxやMac OS XなどのUNIX系OSで標準的なシェルとして使われている「bash」に重大な脆弱性が見つかった問題で、9月24日に公開されたパッチは不完全だったことが分かった。攻撃の発生も確認され、影響の大きさは4月に発覚したOpenSSLの脆弱性(Heartbleed)に匹敵すると指摘されている。
ussert01.jpg 脆弱性の影響は極めて大きいとされる
 米セキュリティ機関US-CERTが9月25日に出したアラートによると、脆弱性はGNU Bash 1.14~4.3に存在し、CentOS、Debian、Mac OS X、Red Hat Enterprise Linux、Ubuntuなどが影響を受ける。24日に脆弱性(識別番号CVE-2014-6271)を修正するパッチが公開され、主要Linuxディストリビューションも更新版を公開した。ところがこのパッチでは、別の脆弱性(CVE-2014-7169)が解決されていないことが判明した。
 Red Hatなどは現在、CVE-2014-7169の脆弱性を修正するパッチの開発を急いでいる。しかし、これを待たずにまずCVE-2014-6271の脆弱性を解決するパッチを適用するよう勧告した。後から見つかったCVE-2014-7169の脆弱性の方が危険度は低いという。
 CVE-2014-6271の脆弱性については、既に攻撃が出回っているのを発見したと研究者が報告し、マルウェアのサンプルを公開。オーストラリアのセキュリティ機関AusCERTも、CVE-2014-6271の脆弱性が実際に悪用されているとの報告があると伝えた。
 セキュリティ企業のErrata Securityは、他のソフトウェアに与える影響の大きさから、bashの脆弱性はHeartbleedと同じくらい重大な問題だと指摘した。例えばサーバなどのシステムはパッチが当てられたとしても、Web対応のビデオカメラといった「モノのインターネット」や、ネットワーク上の古いデバイスなどは脆弱性が放置される公算が大きいと予想している。

コメントを残す

メールアドレスが公開されることはありません。