GNU bash脆弱性(ShellShock)、各種OSSプロジェクトが影響範囲を発表

GNU bashに見つかったセキュリティ脆弱性(通称ShellShock)に関する報道が続いている。この脆弱性は影響範囲が広範囲に及ぶため、ベンダやプロジェクトも個々の対応状況について報告をはじめている。FreeBSDプロジェクトは「Re: bash velnerability」において、Ports Collectionに対応は取り込んだことを指摘するとともに、次のような対策を推奨している。

sshコマンドでログインする対象のシェルにbashを設定しない
/bin/shをbashへリンクしない
WebやCGIのユーザのシェルは/sbin/nologinに設定する
CGIをシェルスクリプトで書かない
WebサーバやCGIをroot権限で実行せず、それぞれサンドボックス化された環境で実行する
カスタムスクリプトのようなものをbashで作成しない

PC-BSDプロジェクトは「BASH shell bug」において、パッケージの対応を開始したこと、PC-BSDプロジェクトとしてはbashを使ったコードは一切持っていないこと、ベースとしているFreeBSDにはbashはデフォルトでは入っていないことなどを説明している。

pfSenseは「pfSense and the CVE-2014-6271 (“shellshock”) bash exploit.」においてベースシステムにbashは存在していないが、3つのパッケージはbashを使っておりこの問題を受けると説明。m0nowallは「m0n0wall not affected by Bash vulnerability」においてbashを含まないことからこの影響は受けないと説明している。Phusion Passengerは直接的にこの脆弱性は持っていないが影響を受けるとしており、対応したオペレーティングシステムのアップデートを推奨している。

「First Shellshock botnet attacks Akamai, US DoD networks」はすでにこのbashのセキュリティ脆弱性がボットネットの構築に使われたことを伝えており、この問題は長期に渡って大きな影響を与える可能性を示しはじめている。今後さまざまなベンダやプロジェクトからShellShockに関する発表があるものと見られ、それぞれの発表に注目しておく必要がある。