ニュース
» 2014年10月06日 07時30分 UPDATE

次々に発覚するbashの脆弱性、最新のパッチ適用を

9月24日以降、これまでに確認された脆弱性は計6件。「最初の修正パッチのみに頼っている場合、直ちに行動する必要がある」と専門家は指摘する。

[鈴木聖子,ITmedia]

 環境変数の処理に関する重大な脆弱性が発覚した「bash」(Bourne Again Shell)に、別の脆弱性が相次いで発見されている。セキュリティ研究者などは改めて、最新のパッチを適用して全ての脆弱性に対処するよう促した。

 bashは9月24日に環境変数の処理に関する脆弱性「CVE-2014-6271」を修正するパッチが公開された。ところがその直後から別の脆弱性が次々に発見され、9月末までに確認された脆弱性は「CVE-2014-7169」「CVE-2014-7186」「CVE-2014-7187」「CVE-2014-6277」「CVE 2014-6278」の計6件に上る。

 セキュリティ研究者のマイケル・ザレウスキ氏は10月1日のブログでこのうちの2件について、それまで公表していなかった内容やコンセプト実証テストケースを公開した。bashのコードが集中的に検証されていることや、オープンソースツールを使って問題を簡単に発見できること、適切な緩和策が提供されたことから、隠しておく意味はなくなったと判断したという。

 ザレウスキ氏はブログの中で、Red Hatエンジニアのフローリアン・バイマー氏がこれら脆弱性に対処するパッチをリリースしたことに触れ、「フローリアンのパッチを既に導入していればほぼ確実に、攻撃を受けても無防備にはならない。しかし最初のCVE-2014-6271の修正パッチのみに頼っている場合、直ちに行動する必要がある」と強調した。

 Red Hatのブログによると、「CVE-2014-6271」から「CVE-2014-7186」までの4件については最新のbashパッケージで修正され、残る2件の問題も緩和されたという。「9月30日の時点でこれらのbashパッケージが攻撃を受けるセキュリティの不具合は報告されていない」と同社は解説している。

関連キーワード

脆弱性 | パッチ | Linux


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -