米国において2014年9月24日に、UNIX/Linux システムで広く利用されているシェルの bash に深刻なバグ情報が公開されました。
- GNU bash の脆弱性に関する注意喚起 ( JPCERT )
- CVE-2014-6271 (英語)
この脆弱性を利用すると、悪意のある第三者が影響をうけるシステム上で外部から任意の操作を行うことが出来てしまい、それによってご利用のサービスの情報が漏洩してしまう可能性があります。
また、その CVE-2014-6271 への対応に不備があり、CVE-2014-6271 の問題に対応したシステムでも、悪意のある第三者がそのシステム上にファイルの書き込みを行えたり、何らかの予期しない影響を及ぼす可能性があるという脆弱性も報告されています。
- CVE-2014-7169 (英語)
ヌーラボでの対応状況
ヌーラボではこの情報を確認した直後よりその影響の甚大さから、弊社が提供する全サービス及び弊社運営のウェブサイトにおける影響範囲の調査を即座に開始し、対応を行っております。
弊社サービスにおいて CVE-2014-6271 の影響を受けるサーバにおいては、AWS や RedHat の提供するセキュリティ情報 ( ALAS-2014-418 、Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271)) などに基づいて bash のアップデートを行い、9月25日17時過ぎにすべてのサービスにおける対応を完了しております。
また、現時点で把握されている本脆弱性の影響範囲からは、これを利用した攻撃を弊社の各サービスに対して行うことは出来ないことを確認しております。
CVE-2014-7169 については引き続き情報収集を継続し、対応を随時行います。対応状況については引き続きこちらのブログにてご報告いたします。
9月26日追記
CVE-2014-7169 についても、ALAS-2014-419 などの情報にもとづき 9月26日14:30 過ぎに全てのサービスにおける対応を完了し、双方の脆弱性について影響がないことを確認しております。