HIRT-PUB14011：日立製品における GNU bash の脆弱性 (CVE-2014-6271、CVE-2014-7169 他) への対応について

(JVNVU#97219505, JVNDB-2014-004410, JVNDB-2014-004399)

更新日：2015年01月13日

1. 概要

UNIX で使用するシェルのひとつである GNU bash (Bourne-Again Shell) の環境変数の処理には、任意のコード実行などを許してしまう脆弱性 (CVE-2014-6271, CVE-2014-7169 他)が存在します。脆弱性を悪用する検証コードの存在や脆弱性を悪用する侵害活動も確認されています。

2014年9月24日
GNU bash (Bourne-Again Shell) の環境変数の処理に脆弱性 (CVE-2014-6271) が存在することが報告され、Linux ディストリビュータから対策版がリリースされました。

2014年9月25日
脆弱性 (CVE-2014-6271) に修正漏れがあることが確認されました。修正漏れに対して脆弱性識別子 CVE-2014-7169 が割り当てられました。

2014年9月26日
Linux ディストリビュータから脆弱性 (CVE-2014-7169) の対策版がリリースされました。
Red Hat から、領域外のメモリアクセスによる脆弱性 (CVE-2014-7186)と境界条件の判定 (off-by-one) による脆弱性 (CVE-2014-7187) の存在が報告されました。

2014年9月27日
信頼できないポインタの参照 (CVE-2014-6277)と環境変数の処理の脆弱性に修正漏れ (CVE-2014-6278) の存在が報告されました。

CVSSによる深刻度

CVE-2014-6271：環境変数の処理の脆弱性により、任意のコードが実行される
CVE-2014-7169：脆弱性 (CVE-2014-6271) の修正漏れにより、任意のコードが実行される
CVE-2014-7186：領域外のメモリアクセスによる脆弱性により、サービス不能が起こる
CVE-2014-7187：境界条件の判定 (off-by-one) による脆弱性により、サービス不能が起こる
CVE-2014-6277：信頼できないポインタの参照により、任意のコードが実行される
CVE-2014-6278：環境変数の処理に関する脆弱性の修正漏れにより、任意のコードが実行される

基本値：10.0
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：低
  攻撃前の認証要否：不要
  機密性への影響(C)：全面的
  完全性への影響(I)：全面的
  可用性への影響(A)：全面的

現状値：8.7 (2014年9月27日時点)
  攻撃される可能性：容易に攻撃可能
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

CVSS:2.0 AV:N/AC:L/Au:N/C:C/I:C/A:C/E:H/RL:OF/RC:C

2. 影響を受けるシステム

+ GNU bash 4.3 ならびに、それ以前
+ 脆弱な GNU bash を利用しているアプリケーション

3. 想定される影響

GNU bash の環境変数の処理に存在する任意のコード実行などを許してしまう脆弱性 (CVE-2014-6271、CVE-2014-7169) です。この問題により、次のようなアプリケーションも、影響を受ける可能性があります。

Web アプリケーション
Web サーバ上で稼働する CGI プログラムが、GNU bash を呼び出している場合、Web アプリケーションが不正な HTTP 要求を受信すると、任意のコードが実行され、結果として、任意の OS コマンドや不正なプログラム実行を許してしまう可能性があります。

Secure Shell (SSH)
コマンドの実行を制限している場合にも、その制限を迂回できてしまう可能性があります。

DHCP クライアント
DHCP クライアントでは、環境変数を参照した後、GNU bash を使ってネットワークインタフェース設定をしている場合があります。DHCP クライアントが不正な DHCP サーバを利用した場合には、この脆弱性を悪用される可能性があります。

メールサーバ
qmail では、mail from:、rcpt to: の値を環境変数として取り扱うために、この脆弱性を悪用される可能性があります。

図1：Web サーバ上の CGI プログラム経由で脆弱性を悪用されてしまった場合の例

シェルスクリプトで作成されたサンプルプログラム(test.cgi)が、不正な HTTP 要求を受信した結果、OS コマンドの実行を許してしまった事例です。この事例の場合、ネットワークインタフェースの情報やパスワード情報を不正に参照されてしまっていることになります。

4. 対策

(対策) 修正プログラムを適用する

CentOS

CVE-2014-6271
[CentOS] Critical update for bash released today.
http://lists.centos.org/pipermail/centos/2014-September/146099.html

CVE-2014-7169
[CentOS-announce] CESA-2014:1306 Important CentOS 5 bash Security Update
http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html
[CentOS-announce] CESA-2014:1306 Important CentOS 6 bash Security Update
http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html
[CentOS-announce] CESA-2014:1306 Important CentOS 7 bash Security Update
http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html

Debian

CVE-2014-6271
DSA-3032-1 bash -- セキュリティ更新
https://www.debian.org/security/2014/dsa-3032

CVE-2014-7169
DSA-3035-1 bash -- セキュリティ更新
https://www.debian.org/security/2014/dsa-3035

Red Hat

CVE-2014-6271
RHSA-2014-1293 Critical: bash security update
https://rhn.redhat.com/errata/RHSA-2014-1293.html
RHSA-2014-1294 Critical: bash security update
https://rhn.redhat.com/errata/RHSA-2014-1294.html
RHSA-2014-1295 Critical: bash Shift_JIS security update
https://rhn.redhat.com/errata/RHSA-2014-1295.html

CVE-2014-7169,CVE-2014-7186,CVE-2014-7187
RHSA-2014-1306 Important: bash security update
https://rhn.redhat.com/errata/RHSA-2014-1306.html
RHSA-2014-1311 Important: bash security update
https://rhn.redhat.com/errata/RHSA-2014-1311.html
RHSA-2014-1312 Critical: bash Shift_JIS security update
https://rhn.redhat.com/errata/RHSA-2014-1312.html

CVE-2014-6277,CVE-2014-6278

Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278) in Red Hat Enterprise Linux
https://access.redhat.com/solutions/1207723

Ubuntu

CVE-2014-6271,CVE-2014-7169
USN-2363-1: Bash vulnerability
http://www.ubuntu.com/usn/usn-2363-1/
USN-2363-2: Bash vulnerability
http://www.ubuntu.com/usn/usn-2363-2/

CVE-2014-7186,CVE-2014-7187
USN-2364-1: Bash vulnerabilities
http://www.ubuntu.com/usn/usn-2364-1/

5. 製品対応状況

日立製品ならびに、日立が提供する他社品(*印)の対応状況は、次の通りです。

2014年10月6日発行

+ アラクサラネットワークス AX シリーズ

　下記 AX シリーズには、影響ありません。
[AX8600R/6700S/6600S/6300S, AX4600S/3800S/3600S/2400S]
[AX7800R/7700R/7800S/5400S]
[AX2500S/2200S/1200S]
[AX620R]

2014年10月3日発行

+ 日立アドバンスドサーバHA8000シリーズ
+ 日立アドバンスドサーバHA8500シリーズ
+ クライアントブレード FLORA bd100/bd500シリーズ
+ シンクライアント FLORA Se210/Se330シリーズ
+ クライアント統合用管理ソフトウェア(Hitachi bd Link)
+ エントリークラス・ディスクアレイ装置　BR1200
+ テープライブラリ装置 L1/8A, Lx/24, Lx/30A, Lx/48, L20/300, L18/500, L56/3000, L64/8500
+ 日立製UPS(無停電電源装置)/管理ソフト/オプション日立製UPS, PowerMonitor H,
   PowerMonitor H for Network, SNMPインターフェースカード,
   ディスクインタフェースカード, SNMP+ディスクインタフェースカード
+ APC UPS(無停電電源装置)/管理ソフト/オプション APC UPS, PowerChute Business Edition,
   PowerChute Network Shutdown, Network Management Card,
   Legacy Communication Card (*)
+ ロードバランサ AX2000, AX2000HL, AX2500 (*)
+ ロードバランサ BIG-IP1500 (*)
+ ディスプレイ/キーボードユニット/コンソール切替ユニット
+ Hitachi Server Navigator Update Manager, Log Collect, Log Monitor,
   Alive Monitor, RAID Navigator
+ Hitachi Server Navigator Installation Assistant