Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

GNUの「bash」アップデートに依然脆弱性 - サービス拒否のおそれ

一部LinuxやMac OS Xなどで採用されているシェルプログラム「bash」に脆弱性「Shellshock」が見つかった問題で、GNU Projectが提供するバージョンに、未解決の脆弱性が含まれていることがわかった。

注意喚起を行っているJPCERTコーディネーションセンターでは、注意喚起情報を更新。GNUが配布しているソースコードをコンパイル、検証を実施した結果を掲載した。あわせてディストリビューターの配布パッチとして、「CentOS 6.4」についてもあわせて検証したという。

同センターによれば、GNUが配布する「bash 4.3.25」では、当初問題となった「CVE-2014-6271」の修正にとどまり、その後判明した「CVE-2014-7169」に関しては、「同4.3.26」以降で修正されている。

また「同4.3.27」「同4.3.26」では、サービス拒否の脆弱性「CVE-2014-7186」「CVE-2014-7187」については修正されていなかった。一方、これら4件の脆弱性に関して「CentOS 6.4」向けのパッチではいずれも修正が完了している。

さらに任意のコードが実行可能となるとされる「CVE-2014-6277」「CVE-2014-6278」については、「同4.3.27」でのみ、影響が緩和されていた。「CentOS 6.4」向けのパッチについても、同様に影響が緩和されているという。

(Security NEXT - 2014/10/01 ) このエントリーをはてなブックマークに追加

PR

関連記事

Apple、「OS X El Capitan」で脆弱性99件を解消 - 「Thunderstrike」も修正
Apple、OS X向けにアップデート - 54件の脆弱性を修正
「ShellShock」攻撃が再び - 脆弱なウェブサーバをボット化
8080番ポートへのアクセスが増加 - ShellShock攻撃の対象NASを探索
逆引DNSを利用したShellShock攻撃 - Mac OS Xの一般利用者にも影響か
Apple、「OS X Yosemite」を提供開始 - 「POODLE」や「ShellShock」を修正
Apple、旧OS利用者向けに「POODLE」対応アップデート
Oracleが定例パッチを公開 - 154件の脆弱性を修正
【ShellShock】Webmin狙う不正アクセスが増加 - 踏み台被害も発生
「Heartbleed」や「ShellShock」などOSSの脆弱性対策を支援するサービス