「GNU bash」に脆弱性、パッチは修正が不十分なため回避策の適用を(JPCERT/CC) | ScanNetSecurity
2024.05.06(月)

「GNU bash」に脆弱性、パッチは修正が不十分なため回避策の適用を(JPCERT/CC)

JPCERT/CCは、「GNU bash」の脆弱性に関する注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
GNU Projectによる情報
GNU Projectによる情報 全 1 枚 拡大写真
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は9月25日、「GNU bash」の脆弱性に関する注意喚起を発表した。GNU bashの環境変数の処理には脆弱性(CVE-2014-6271)があり、外部からの入力がGNU bashの環境変数に設定される環境において、リモートの攻撃者によって任意のコードが実行される可能性がある。影響を受けるバージョンは以下の通り。

Bash 4.3 Patch 25 およびそれ以前
Bash 4.2 Patch 48 およびそれ以前
Bash 4.1 Patch 12 およびそれ以前
Bash 4.0 Patch 39 およびそれ以前
Bash 3.2 Patch 52 およびそれ以前
Bash 3.1 Patch 18 およびそれ以前
Bash 3.0 Patch 17 およびそれ以前

なお、ディストリビュータが提供しているbashを使用している場合は、ディストリビュータの情報を参照のこと。

本脆弱性を修正したパッチが公開されているが、現段階で修正が不十分であるため、JPCERT/CCでは「GNU bashを代替のシェルに入れ替える」「WAFやIDSを用いて脆弱性のあるサービスへの入力にフィルタをかける」「継続的なシステム監視を行う」といった回避策を適用するよう勧めている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP