SAKURA internet
News
お知らせ

【重要】GNU bash の脆弱性に関する注意喚起(10月9日追記)

お客様各位
                         さくらインターネット株式会社

 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。

 この度、GNU Project が提供する、Linux などの UNIX系 OS に含まれるコマンドを
実行するためのシェル「bash」において、OSコマンドインジェクションの脆弱性が発見
され、コンピューターセキュリティ関連の情報発信などを行うJPCERTコーディネーション
センターより注意喚起が発表されています。

 ▼JPCERTコーディネーションセンター
  GNU bash の脆弱性に関する注意喚起
  https://www.jpcert.or.jp/at/2014/at140037.html

 さくらのVPS など弊社の一部サービスの OS において、対象となるバージョンの GNU
「bash」がインストールされている場合があります。お客様におかれましては、「bash」
のバージョンをご確認いただき、対策パッチの早急な適用をおすすめいたします。

 なお、対策の一例として詳細情報を下記にご案内いたしますので、あわせてご参照く
ださい。また、今後も各 OSディストリビュータや GNU Project からの更新情報をご確
認ください。

                  <記>

■対象サービス
 下記対象サービスの Linux など UNIX系 OS に対象となるバージョンのGNU「bash」が
 インストールされている場合があります。

 ・さくらのVPS
 ・さくらのクラウド
 ・さくらの専用サーバ
 ・専用サーバ
 ・専用サーバPlatform Ad/St

 ※『Windows Server』OS(バージョン問わず)は今回発見された脆弱性の影響範囲外
  となります。

■GNU「bash」の対象バージョン
 以下のバージョンが脆弱性の影響を受けます。

  ・bash 4.3 Official Patch 25 およびそれ以前
  ・bash 4.2 Official Patch 48 およびそれ以前
  ・bash 4.1 Official Patch 12 およびそれ以前
  ・bash 4.0 Official Patch 39 およびそれ以前
  ・bash 3.2 Official Patch 52 およびそれ以前
  ・bash 3.1 Official Patch 18 およびそれ以前
  ・bash 3.0 Official Patch 17 およびそれ以前

 ※上記の「bash」を使用して OSコマンドを実行するアプリケーションをネットワーク
  上に公開または接続している場合に、攻撃を受ける可能性があります。

■対策方法
 以下、いずれかの方法でご対応ください。

 1)利用しているOSのディストリビュータが提供する情報をもとに、「bash」を最新
  バージョンにアップデートする。

  具体的な対策方法については以下のURLからご利用のバージョンにあわせた最新パッチ
  の情報をご参照ください。

  ▼Red Hat
   https://rhn.redhat.com/errata/RHSA-2014-1306.html
   https://access.redhat.com/articles/1200223

  ▼CentOS
   ・CentOS 5
    http://lists.centos.org/pipermail/centos-announce/2014-September/020591.html
   ・CentOS 6
    http://lists.centos.org/pipermail/centos-announce/2014-September/020593.html
   ・CentOS 7
    http://lists.centos.org/pipermail/centos-announce/2014-September/020592.html

  ▼Debian
   https://www.debian.org/security/2014/dsa-3035

  ▼Ubuntu
   http://www.ubuntu.com/usn/usn-2363-2/

 2)GNU Projectが提供する情報をもとに、「bash」にパッチを適用する。

  具体的な対策方法については以下のURLからご利用のバージョンにあわせた最新パッチ
  の情報をご参照ください。

  ▼bug-bash Archives
   http://lists.gnu.org/archive/html/bug-bash/2014-09/threads.html

■本件に関するお問い合わせ
メールアドレス : support@sakura.ad.jp

(2014年10月9日 追記)

本件脆弱性に関連し、サーバ管理ツール「webmin」においてデフォルト設定で利用されて
いる10000番ポートを対象とした攻撃が確認されており、10月に入り急増していることが
警察庁からもレポートされています。

 ▼警察庁 インターネット治安情勢
 「Bashの脆弱性を標的としたアクセスの観測について(第2報)」
  http://www.npa.go.jp/cyberpolice/detect/pdf/20141007.pdf

サーバ管理ツール「webmin」が稼働している機器を探索するため10000番ポートへのアクセス
が行われるケースが急増しており、脆弱性の残るサーバが確認できた際にはBashの脆弱性を
利用した攻撃に遷移する目的でこのような探索を実施している可能性が考えられます。

■対策方法
 対象サービスにおいてサーバ管理ツール「webmin」をインストールしご利用中のお客様に
 おかれましては、以下いずれかの方法で早急に対策を実施いただくことを強く推奨いたし
 ます。

 1)利用しているOSのディストリビュータが提供する情報をもとに、「bash」を最新
  バージョンにアップデートする。

 2)GNU Projectが提供する情報をもとに、「bash」にパッチを適用する。

 3)サーバ管理ツール「webmin」を対策済みバージョン(1.710)にアップデートする。

  具体的な対策方法については以下のURLからご利用のバージョンにあわせた最新パッチ
  の情報をご参照ください。

  ▼webmin
   http://www.webmin.com/download.html