JPCERT/CC、GNU bashの脆弱性に注意喚起

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は9月25日、「JPCERT/CC Alert - GNU bash の脆弱性に関する注意喚起」においてGNU bashのセキュリティ脆弱性について伝えた。該当するソフトウェアを使用している場合には説明されている対策方法などを適用し、早期に問題に対処することが推奨される。

セキュリティ脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

bash 4.3 Patch 25 およびそれよりも前のバージョン
bash 4.2 Patch 48 およびそれよりも前のバージョン
bash 4.1 Patch 12 およびそれよりも前のバージョン
bash 4.0 Patch 39 およびそれよりも前のバージョン
bash 3.2 Patch 52 およびそれよりも前のバージョン
bash 3.1 Patch 18 およびそれよりも前のバージョン
bash 3.0 Patch 17 およびそれよりも前のバージョン

執筆現在、このセキュリティ脆弱性を完全に修正するパッチは提供されていない。JPCERTコーディネーションセンターではGNU bashから別のシェルを変更すること、入力されるデータに関してWAFやIDSを活用してフィルタリングを実施すること、継続的にシステムの監視を実施することなどの一時回避策を推奨している。

Mac OS XやLinuxディストリビューションはsh(/bin/sh)の実態としてbashを採用しているものが多く、こうしたシステムは/bin/shを使っている場合でも同様の影響を受ける可能性が高い。ベンダやプロジェクトの提供する情報に注意するとともに、修正版が提供された際には迅速な適用が推奨される。