次々に発覚するbashの脆弱性、最新のパッチ適用を

9月24日以降、これまでに確認された脆弱性は計6件。「最初の修正パッチのみに頼っている場合、直ちに行動する必要がある」と専門家は指摘する。

[鈴木聖子，ITmedia]

　環境変数の処理に関する重大な脆弱性が発覚した「bash」（Bourne Again Shell）に、別の脆弱性が相次いで発見されている。セキュリティ研究者などは改めて、最新のパッチを適用して全ての脆弱性に対処するよう促した。

　bashは9月24日に環境変数の処理に関する脆弱性「CVE-2014-6271」を修正するパッチが公開された。ところがその直後から別の脆弱性が次々に発見され、9月末までに確認された脆弱性は「CVE-2014-7169」「CVE-2014-7186」「CVE-2014-7187」「CVE-2014-6277」「CVE 2014-6278」の計6件に上る。

　セキュリティ研究者のマイケル・ザレウスキ氏は10月1日のブログでこのうちの2件について、それまで公表していなかった内容やコンセプト実証テストケースを公開した。bashのコードが集中的に検証されていることや、オープンソースツールを使って問題を簡単に発見できること、適切な緩和策が提供されたことから、隠しておく意味はなくなったと判断したという。

　ザレウスキ氏はブログの中で、Red Hatエンジニアのフローリアン・バイマー氏がこれら脆弱性に対処するパッチをリリースしたことに触れ、「フローリアンのパッチを既に導入していればほぼ確実に、攻撃を受けても無防備にはならない。しかし最初のCVE-2014-6271の修正パッチのみに頼っている場合、直ちに行動する必要がある」と強調した。

　Red Hatのブログによると、「CVE-2014-6271」から「CVE-2014-7186」までの4件については最新のbashパッケージで修正され、残る2件の問題も緩和されたという。「9月30日の時点でこれらのbashパッケージが攻撃を受けるセキュリティの不具合は報告されていない」と同社は解説している。