専用サーバに関するお知らせ│専用サーバ

【重要】GNU bash の脆弱性に関する注意喚起

                                 2014年9月29日
お客様各位
                         さくらインターネット株式会社

 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。

 この度、GNU Project が提供する、Linux などの UNIX系 OS に含まれるコマンドを
実行するためのシェル「bash」において、OSコマンドインジェクションの脆弱性が発見
され、コンピューターセキュリティ関連の情報発信などを行うJPCERTコーディネーション
センターより注意喚起が発表されています。

 ▼JPCERTコーディネーションセンター
  GNU bash の脆弱性に関する注意喚起
  https://www.jpcert.or.jp/at/2014/at140037.html

 さくらのVPS など弊社の一部サービスの OS において、対象となるバージョンの GNU
「bash」がインストールされている場合があります。お客様におかれましては、「bash」
のバージョンをご確認いただき、対策パッチの早急な適用をおすすめいたします。

 なお、対策の一例として詳細情報を下記にご案内いたしますので、あわせてご参照く
ださい。また、今後も各 OSディストリビュータや GNU Project からの更新情報をご確
認ください。


                  <記>


■対象サービス
 下記対象サービスの Linux など UNIX系 OS に対象となるバージョンのGNU「bash」が
 インストールされている場合があります。

 ・さくらのVPS
 ・さくらのクラウド
 ・さくらの専用サーバ
 ・専用サーバ
 ・専用サーバPlatform Ad/St

 ※『Windows Server』OS(バージョン問わず)は今回発見された脆弱性の影響範囲外
  となります。

■GNU「bash」の対象バージョン
 以下のバージョンが脆弱性の影響を受けます。

  ・bash 4.3 Official Patch 25 およびそれ以前
  ・bash 4.2 Official Patch 48 およびそれ以前
  ・bash 4.1 Official Patch 12 およびそれ以前
  ・bash 4.0 Official Patch 39 およびそれ以前
  ・bash 3.2 Official Patch 52 およびそれ以前
  ・bash 3.1 Official Patch 18 およびそれ以前
  ・bash 3.0 Official Patch 17 およびそれ以前

 ※上記の「bash」を使用して OSコマンドを実行するアプリケーションをネットワーク
  上に公開または接続している場合に、攻撃を受ける可能性があります。

■対策方法
 以下、いずれかの方法でご対応ください。

 1)利用しているOSのディストリビュータが提供する情報をもとに、「bash」を最新
  バージョンにアップデートする。

  具体的な対策方法については以下のURLからご利用のバージョンにあわせた最新パッチ
  の情報をご参照ください。

  ▼Red Hat
   https://rhn.redhat.com/errata/RHSA-2014-1306.html
   https://access.redhat.com/articles/1200223

  ▼CentOS
   ・CentOS 5
    http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html
   ・CentOS 6
    http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html
   ・CentOS 7
    http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html

  ▼Debian
   https://www.debian.org/security/2014/dsa-3035

  ▼Ubuntu
   http://www.ubuntu.com/usn/usn-2363-2/

 2)GNU Projectが提供する情報をもとに、「bash」にパッチを適用する。

  具体的な対策方法については以下のURLからご利用のバージョンにあわせた最新パッチ
  の情報をご参照ください。

  ▼bug-bash Archives
   http://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html

■本件に関するお問い合わせ
  メールアドレス : support@sakura.ad.jp