bashシェルに危険な脆弱性

bashシェルにセキュリティホールが見つかりました

9/24頃に、LinuxやUnixで多く使われている「bash」シェルに、非常に危険なセキュリティホールが見つかりました。

IPAが警告を公表しています。

• https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

• Windowsはもともと関係ありません。
• Androidは基本的に影響はありません。
• iOSも影響無いと発表していますが…

しばらく待ってみましたが、ShellSock脆弱性の危険性が世間一般に伝わっていないようなので、再度、確認したいと思います。

ちなみに私も9/26まで知らず、株式会社アバンデ 小西社長に教えていただきました。

ShellScokに関するIPAの発表

一般的には「ShellSock」脆弱性とも言われており、Linux系やUnix系で多く利用されている「bash」シェルに、非常に危険な脆弱性(セキュリティホール)が見つかりました。
IPAが注意喚起を公表しています。
JPSERTCCからも注意喚起を公表しています。

以下、IPAのサイトから一部抜粋します。

(1)ウェブアプリケーション

ウェブアプリケーションが CGI から OS のコマンドを実行している場合、攻撃の影響を受ける可能性があります。ウェブアプリケーションを公開している企業・組織は、ウェブアプリケーションの開発担当部署または開発した業者に、影響の有無を確認してください。

(2)Linux ベースの組み込み機器

ネットワーク機器などアプライアンスと呼ばれる Linux ベースの製品は、ウェブインターフェースなどを介して攻撃を受ける可能性があります。今後、製品ベンダによる対策情報の公開有無を確認してください。

つまり、以下の場合に、危険があるようです。

• Webサーバーをインターネットに公開している。
• Webサーバーが公開しているWebページでCGIスクリプトなどを実行する内容になっている。
• CGIスクリプトなどからbashを実行する。

どんなものがあるかというと、下記などです。

• 掲示板
• チャット
• ブロードバンドルーターなども含まれる可能性がある

もしかしたら、HDDレコーダーも含まれるかもしれません。

基本的な対策としては、「修正パッチを適用する」でしょう。ただし、修正パッチが不十分などの報告も浮上しているので、必ず、各ベンダーや、ディストリビュータを確認ください。

ちなみにWindowsは関係ないので大丈夫です。

Androidの標準シェルは「sh」という系列のものなので、普通の人は大丈夫です。

iOSについては、Apple社が影響ないと公表しています。

ただ、Apple社の発表(特にセキュリティに関して)は信頼出来ない情報が比較的多いと言われているのでわかりません。まあ、iOSならハッカー達はShellSockを使わずとも…という感じなのでしょうが…

最後に、ここに記載している内容は、足りない情報や、間違えている内容がある可能性があります。

必ず、IPAのサイトや、各ベンダー、各ディストリビュータのサイトを確認するようにして下さい。