お知らせ

bash脆弱性についての対応のお勧め


平素はNTTコミュニケーションズ Bizホスティング Enterprise Cloudをご利用いただき誠にありがとうございます。

この度、Linux上で動作するbashにおいて、外部より攻撃を受ける可能性の高いセキュリティ(脆弱性)情報が確認されました。

各ベンダからのパッチ公開および、対応見解が出ております。ご利用いただいております仮想マシン等のゲストOSに関する、脆弱性の最新情報をご確認の上、ご対応いただくことをお勧めいたします。

■対象パッチバージョン情報

9月25,26日で提供された(CVE-2014-6271 および CVE-2014-7169 )へのパッチ公開後に、指摘のあった問題(CVE-2014-6277/6278)についても、このたび、ベンダごとに対応パッチの提供、対応見解がでております。

○ Redhut Linux についての情報
CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、およびCVE-2014-6278 の影響を受けないようにするために、システムの Bash が以下の バージョン以降であることを確認してください。このバージョンには、以前の修正も含まれます。

Red Hat Enterprise Linux 7 – bash-4.2.45-5.el7_0.4
Red Hat Enterprise Linux 6 – bash-4.1.2-15.el6_5.2
Red Hat Enterprise Linux 5 – bash-3.2-33.el5_11.4

○ GNU bash についての情報
GNU Project から脆弱性を修正したバージョンの GNU bash が公開されています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

修正済みのバージョンは、以下の通りです。

Bash 4.3 Patch 28
Bash 4.2 Patch 51
Bash 4.1 Patch 15
Bash 4.0 Patch 42
Bash 3.2 Patch 55
Bash 3.1 Patch 21
Bash 3.0 Patch 20

Bizホスティング Enterprise Gloud で提供している、テンプレート(RedhatLinux)はパッチ適用済みのものに対応しております。
ただし、それ以前のテンプレートをご利用の場合は、パッチが適用されておりません。念のため、bash脆弱性情報の確認の上、必要であればパッチ適用の対応をお勧めいたします。

■バージョン確認方法

バージョンの確認方法は、以下についても参考にしてください。

https://eclkc-lab3ec.gcv-cloud.com/faq/1.0/

よくある質問

Q.利用しているゲストOSのバージョンの確認はどのように行えますか?
Q.利用しているLinuxディストリビューションに含まれる、ツールのバージョン確認はどのように実施できますか?

■対応方法
今回の脆弱性問題への対応は以下の対応を強く推奨いたします。

(1)脆弱性解消版へのアップデート/パッチ適用
(2)上記実施が困難な場合は、
 ・フィルタリング(WAF や iptables を用いるなど)
 ・アクセス制限(ネットワーク機器を用いるなど)
 ・可能な場合、一時的な公開停止
 を検討の上、実施をお勧めいたします。

■■ 脆弱性と対応方法の情報 ■■
※以下、サイトでも随時情報が更新されておりますので、継続的な確認を実施してください。

[情報処理推進機構(IPA)からの情報(日本語)]http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

[JPCERT からの情報(日本語)]http://www.jpcert.or.jp/at/2014/at140037.html

[Redhat社 からの情報(日本語)]https://access.redhat.com/ja/solutions/1212333

- 以上 -