2014年10月3日
デル株式会社
Bashバグの脆弱性「Shellshock」への注意喚起
*米国時間2014年9月25日に発表。
アップデート2: 新しい「Shellshock」の脆弱性はShellshockのWikipedia(英語)のページ上でお伝えしております。Bashコマンドラインインタープリタにおける脆弱性「CVE-2014-6271」が公開され、デルは、全製品基盤で積極的に同脆弱性の影響範囲を調査しています。問題が見つかった場合は可能な限り早急に皆様にお知らせし、修正を行う予定です。アップデート1:個々の製品またはアプリケーションの状況については、こちらの修正ページ(英語)でご確認ください。
Bashは、Linuxベースのシステムで最も広く使用されているシェルであり、Mac OS X Panther(バージョン10.3)以降のMac OSでのデフォルトのシェルでもあります。脆弱なBashバージョンは、「'() {'」により定義される関数定義だけでなく、その後に続くコマンドラインも解析してしまいます。攻撃者はここに任意のコマンドを追加することで、システムの機密情報を開示したり、サーバのファイルシステムの別の場所にファイルを書き込むことが可能になります(ファイルアップロードの脆弱性と同様です)。
この脆弱性を悪用すると、脆弱なHTTP CGIサーバのコンテキストで任意のコマンドを実行でき、他の攻撃と組み合わせれば、システムを完全に乗っ取ることも可能です。
DellではLinuxおよびMac OS Xのシステムを使用しているクライアントは、Bashバージョンが脆弱かどうかを確認し、脆弱なシステムには直ちにセキュリティアップデートを適用することを推奨しています。今回の発表時点で、ほとんどの主要Linuxディストリビューションは、それぞれのパッケージマネージャー・システムから適用可能なアップデートをリリースしています。また、Bashを使用しないWindowsのみの環境は、こうした攻撃を受けることはありません。
デルは長きにわたり、安全な製品の設計、構築、出荷に努め、問題が発見された場合は速やかに対処し、お客様のデータと情報の保護を最優先としています。当社製品の完全性とお客様のセキュリティおよびプライバシーを脅かす可能性がある全ての問題を真摯に受け止め、今後も透明性のある方法でお客様にお伝えして参ります。
アップデート3:それぞれの脆弱性の詳細については以下の米国標準技術研究所(National Institute of Standards and Technology: NIST)のウェブサイト(英語)にてご確認ください。
CVE-2014-6271, CVE-2014-6277,CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187
