サービス名から探す : Enterprise Cloud 1.0に関するお知らせ
(10月07日 18時00分更新) bash脆弱性についての対応のお勧め
お客様各位
2014年10月7日
NTTコミュニケーションズ
クラウドサポートセンタ
bash脆弱性についての対応のお勧め
平素はNTTコミュニケーションズ Bizホスティング Enterprise Cloudを
ご利用いただき誠にありがとうございます。
この度、Linux上で動作するbashにおいて、外部より攻撃を受ける
可能性の高いセキュリティ(脆弱性)情報が確認されました。
各ベンダからのパッチ公開および、対応見解が出ております。ご利用いた
だいております仮想マシン等のゲストOSに関する、脆弱性の最新情報を
ご確認の上、ご対応いただくことをお勧めいたします。
■対象パッチバージョン情報
9月25,26日で提供された(CVE-2014-6271 および CVE-2014-7169 )への
パッチ公開後に、指摘のあった問題(CVE-2014-6277/6278)についても、
このたび、ベンダごとに対応パッチの提供、対応見解がでております。
○ Redhut Linux についての情報
CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、および
CVE-2014-6278 の影響を受けないようにするために、システムの Bash が以下の
バージョン以降であることを確認してください。このバージョンには、以前の
修正も含まれます。
Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.4
Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.2
Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.4
○ GNU bash についての情報
GNU Project から脆弱性を修正したバージョンの GNU bash が公開されてい
ます。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。
修正済みのバージョンは、以下の通りです。
- Bash 4.3 Patch 28
- Bash 4.2 Patch 51
- Bash 4.1 Patch 15
- Bash 4.0 Patch 42
- Bash 3.2 Patch 55
- Bash 3.1 Patch 21
- Bash 3.0 Patch 20
Bizホスティング Enterprise Gloud で提供している、テンプレート
(RedhatLinux)はパッチ適用済みのものに対応しております。
ただし、それ以前のテンプレートをご利用の場合は、パッチが適用されてお
りません。念のため、bash脆弱性情報の確認の上、必要であればパッチ適用
の対応をお勧めいたします。
■バージョン確認方法
バージョンの確認方法は、以下についても参考にしてください。
http://support.ntt.com/bhec/faq/search
よくあるご質問
Q.利用しているゲストOSのバージョンの確認はどのように行えますか。
Q.利用しているLinuxディストリビューションに含まれる、ツールのバージョン
確認はどのように実施できますか?
■対応方法
今回の脆弱性問題への対応は以下の対応を強く推奨いたします。
(1)脆弱性解消版へのアップデート/パッチ適用
(2)上記実施が困難な場合は、
・フィルタリング(WAF や iptables を用いるなど)
・アクセス制限(ネットワーク機器を用いるなど)
・可能な場合、一時的な公開停止
を検討の上、実施をお勧めいたします。
■■ 脆弱性と対応方法の情報 ■■
※以下、サイトでも随時情報が更新されておりますので、継続的な確認を実施してください。
[ 情報処理推進機構(IPA)からの情報(日本語)]
http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
[ JPCERT からの情報(日本語)]
http://www.jpcert.or.jp/at/2014/at140037.html
[ Redhat社 からの情報 ]
(日本語)
https://access.redhat.com/ja/solutions/1212333
ー 以上 ー
2014年10月7日
NTTコミュニケーションズ
クラウドサポートセンタ
bash脆弱性についての対応のお勧め
平素はNTTコミュニケーションズ Bizホスティング Enterprise Cloudを
ご利用いただき誠にありがとうございます。
この度、Linux上で動作するbashにおいて、外部より攻撃を受ける
可能性の高いセキュリティ(脆弱性)情報が確認されました。
各ベンダからのパッチ公開および、対応見解が出ております。ご利用いた
だいております仮想マシン等のゲストOSに関する、脆弱性の最新情報を
ご確認の上、ご対応いただくことをお勧めいたします。
■対象パッチバージョン情報
9月25,26日で提供された(CVE-2014-6271 および CVE-2014-7169 )への
パッチ公開後に、指摘のあった問題(CVE-2014-6277/6278)についても、
このたび、ベンダごとに対応パッチの提供、対応見解がでております。
○ Redhut Linux についての情報
CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、および
CVE-2014-6278 の影響を受けないようにするために、システムの Bash が以下の
バージョン以降であることを確認してください。このバージョンには、以前の
修正も含まれます。
Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.4
Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.2
Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.4
○ GNU bash についての情報
GNU Project から脆弱性を修正したバージョンの GNU bash が公開されてい
ます。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。
修正済みのバージョンは、以下の通りです。
- Bash 4.3 Patch 28
- Bash 4.2 Patch 51
- Bash 4.1 Patch 15
- Bash 4.0 Patch 42
- Bash 3.2 Patch 55
- Bash 3.1 Patch 21
- Bash 3.0 Patch 20
Bizホスティング Enterprise Gloud で提供している、テンプレート
(RedhatLinux)はパッチ適用済みのものに対応しております。
ただし、それ以前のテンプレートをご利用の場合は、パッチが適用されてお
りません。念のため、bash脆弱性情報の確認の上、必要であればパッチ適用
の対応をお勧めいたします。
■バージョン確認方法
バージョンの確認方法は、以下についても参考にしてください。
http://support.ntt.com/bhec/faq/search
よくあるご質問
Q.利用しているゲストOSのバージョンの確認はどのように行えますか。
Q.利用しているLinuxディストリビューションに含まれる、ツールのバージョン
確認はどのように実施できますか?
■対応方法
今回の脆弱性問題への対応は以下の対応を強く推奨いたします。
(1)脆弱性解消版へのアップデート/パッチ適用
(2)上記実施が困難な場合は、
・フィルタリング(WAF や iptables を用いるなど)
・アクセス制限(ネットワーク機器を用いるなど)
・可能な場合、一時的な公開停止
を検討の上、実施をお勧めいたします。
■■ 脆弱性と対応方法の情報 ■■
※以下、サイトでも随時情報が更新されておりますので、継続的な確認を実施してください。
[ 情報処理推進機構(IPA)からの情報(日本語)]
http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
[ JPCERT からの情報(日本語)]
http://www.jpcert.or.jp/at/2014/at140037.html
[ Redhat社 からの情報 ]
(日本語)
https://access.redhat.com/ja/solutions/1212333
ー 以上 ー