LinuxやMac OS XなどのUNIX系OSで標準的なシェルとして使われている「bash」に重大な脆弱性が見つかった問題で、9月24日に公開されたパッチは不完全だったことが分かった。攻撃の発生も確認され、影響の大きさは4月に発覚したOpenSSLの脆弱性(Heartbleed)に匹敵すると指摘されている。
米セキュリティ機関US-CERTが9月25日に出したアラートによると、脆弱性はGNU Bash 1.14〜4.3に存在し、CentOS、Debian、Mac OS X、Red Hat Enterprise Linux、Ubuntuなどが影響を受ける。24日に脆弱性(識別番号CVE-2014-6271)を修正するパッチが公開され、主要Linuxディストリビューションも更新版を公開した。ところがこのパッチでは、別の脆弱性(CVE-2014-7169)が解決されていないことが判明した。
Red Hatなどは現在、CVE-2014-7169の脆弱性を修正するパッチの開発を急いでいる。しかし、これを待たずにまずCVE-2014-6271の脆弱性を解決するパッチを適用するよう勧告した。後から見つかったCVE-2014-7169の脆弱性の方が危険度は低いという。
CVE-2014-6271の脆弱性については、既に攻撃が出回っているのを発見したと研究者が報告し、マルウェアのサンプルを公開。オーストラリアのセキュリティ機関AusCERTも、CVE-2014-6271の脆弱性が実際に悪用されているとの報告があると伝えた。
セキュリティ企業のErrata Securityは、他のソフトウェアに与える影響の大きさから、bashの脆弱性はHeartbleedと同じくらい重大な問題だと指摘した。例えばサーバなどのシステムはパッチが当てられたとしても、Web対応のビデオカメラといった「モノのインターネット」や、ネットワーク上の古いデバイスなどは脆弱性が放置される公算が大きいと予想している。
同社はまた、この脆弱性を利用すれば、ファイアウォールを通過して多数のシステムに感染できるワームを作成することも可能だと警告した。
関連記事
- 「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
脆弱性は多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。 - OpenSSLにまた重大な脆弱性、直ちにパッチ適用を
- OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
- 「GnuTLS」に新たな脆弱性、主要Linuxディストリビューションに影響
- Linuxサーバ2万5000台にマルウェアが感染、攻撃加担の実態も
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.