Bashの公式パッチ、Shellshockに対応しきれていない - JPCERT/CC

JPCERT/CCは9月30日、Bashの脆弱性「Shellshock」について新たな発表を行った。これによると、GNU Project から脆弱性を修正したバージョンのGNU bashが公開されたが、脆弱性「CVE-2014-7186」「CVE-2014-7187」について修正されていないという。

GNU Project からは、以下の脆弱性を修正したバージョンのGNU bashが公開されている。

Bash 4.3 Patch 27
Bash 4.2 Patch 50
Bash 4.1 Patch 14
Bash 4.0 Patch 41
Bash 3.2 Patch 54
Bash 3.1 Patch 20
Bash 3.0 Patch 19

今回Bashにおいては、「CVE-2014-6271」「CVE-2014-7169」「CVE-2014-7186」「CVE-2014-7187」「CVE-2014-6277」「CVE-2014-6278」といった脆弱性が発見されたが、上記の修正版のGNU bashでは、「CVE-2014-7186」と「CVE-2014-7187」への修正がなされていないという。