次々に発覚するbashの脆弱性、最新のパッチ適用を
9月24日以降、これまでに確認された脆弱性は計6件。「最初の修正パッチのみに頼っている場合、直ちに行動する必要がある」と専門家は指摘する。
環境変数の処理に関する重大な脆弱性が発覚した「bash」(Bourne Again Shell)に、別の脆弱性が相次いで発見されている。セキュリティ研究者などは改めて、最新のパッチを適用して全ての脆弱性に対処するよう促した。
bashは9月24日に環境変数の処理に関する脆弱性「CVE-2014-6271」を修正するパッチが公開された。ところがその直後から別の脆弱性が次々に発見され、9月末までに確認された脆弱性は「CVE-2014-7169」「CVE-2014-7186」「CVE-2014-7187」「CVE-2014-6277」「CVE 2014-6278」の計6件に上る。
セキュリティ研究者のマイケル・ザレウスキ氏は10月1日のブログでこのうちの2件について、それまで公表していなかった内容やコンセプト実証テストケースを公開した。bashのコードが集中的に検証されていることや、オープンソースツールを使って問題を簡単に発見できること、適切な緩和策が提供されたことから、隠しておく意味はなくなったと判断したという。
ザレウスキ氏はブログの中で、Red Hatエンジニアのフローリアン・バイマー氏がこれら脆弱性に対処するパッチをリリースしたことに触れ、「フローリアンのパッチを既に導入していればほぼ確実に、攻撃を受けても無防備にはならない。しかし最初のCVE-2014-6271の修正パッチのみに頼っている場合、直ちに行動する必要がある」と強調した。
Red Hatのブログによると、「CVE-2014-6271」から「CVE-2014-7186」までの4件については最新のbashパッケージで修正され、残る2件の問題も緩和されたという。「9月30日の時点でこれらのbashパッケージが攻撃を受けるセキュリティの不具合は報告されていない」と同社は解説している。
関連記事
- bashの脆弱性を抱えるNASへの攻撃、日本や韓国が標的に
- bash脆弱性、国内メーカーの対応まとめ(10月3日夜現在)
- bashの脆弱性を突く攻撃がさらに増大、重大性はHeartbleed以上
- Apple、「bash」脆弱性対応のOS Xアップデートをリリース
- 「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.