Bashに関する脆弱性 CVE-2014-6271, CVE-2014-7169 が公開されました。本脆弱性では,Bashの環境変数の処理に起因する不具合により,リモートから任意のコードを実行可能となります。
学認技術ガイドに従って構築したIdP/SP自身がBashを呼び出すことはありませんが,同居しているWebアプリケーションや他のCGIスクリプト等を配置している場合に本脆弱性の影響を受ける可能性があります。
すでに修正パッケージがリリースされていますので速やかにアップデートいただくことをおすすめいたします。
CentOSでは以下に示すバージョンがCVE-2014-6271, CVE-2014-7169の両方が修正されたパッケージです。
- CentOS 5
bash-3.2-33.el5_10.4 およびそれ以降のバージョン
- CentOS 6
bash-4.1.2-15.el6_5.2 およびそれ以降のバージョン
その他のディストリビューションをご利用の方は,各ディストリビュータの情報をご参照ください。
参考情報:
- Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)
https://access.redhat.com/articles/1200223
- CVE-2014-6271 bash: specially-crafted environment variables can be used to inject shell commands
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-6271
- CVE-2014-7169 bash: code execution via specially-crafted environment
(Incomplete fix for CVE-2014-6271)
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-7169
- CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
- CVE-2014-7169
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
本件に関する連絡先
===============================================
国立情報学研究所 学認事務局
TEL:03-4212-2218
===============================================
