サービス名から探す : Enterprise Cloud 1.0に関するお知らせ

(10月07日 18時00分更新) bash脆弱性についての対応のお勧め

お客様各位
                                           2014年10月7日
                                           NTTコミュニケーションズ
                                           クラウドサポートセンタ
 

     bash脆弱性についての対応のお勧め


平素はNTTコミュニケーションズ Bizホスティング Enterprise Cloudを
ご利用いただき誠にありがとうございます。

この度、Linux上で動作するbashにおいて、外部より攻撃を受ける
可能性の高いセキュリティ(脆弱性)情報が確認されました。

各ベンダからのパッチ公開および、対応見解が出ております。ご利用いた
だいております仮想マシン等のゲストOSに関する、脆弱性の最新情報を
ご確認の上、ご対応いただくことをお勧めいたします。



■対象パッチバージョン情報

9月25,26日で提供された(CVE-2014-6271 および CVE-2014-7169 )への
パッチ公開後に、指摘のあった問題(CVE-2014-6277/6278)についても、
このたび、ベンダごとに対応パッチの提供、対応見解がでております。

○ Redhut Linux についての情報
CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、および
CVE-2014-6278 の影響を受けないようにするために、システムの Bash が以下の
バージョン以降であることを確認してください。このバージョンには、以前の
修正も含まれます。

    Red Hat Enterprise Linux 7 - bash-4.2.45-5.el7_0.4
    Red Hat Enterprise Linux 6 - bash-4.1.2-15.el6_5.2
    Red Hat Enterprise Linux 5 - bash-3.2-33.el5_11.4


○ GNU bash についての情報
GNU Project から脆弱性を修正したバージョンの GNU bash が公開されてい
ます。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

  修正済みのバージョンは、以下の通りです。

  - Bash 4.3 Patch 28
  - Bash 4.2 Patch 51
  - Bash 4.1 Patch 15
  - Bash 4.0 Patch 42
  - Bash 3.2 Patch 55
  - Bash 3.1 Patch 21
  - Bash 3.0 Patch 20



Bizホスティング Enterprise Gloud で提供している、テンプレート
(RedhatLinux)はパッチ適用済みのものに対応しております。
ただし、それ以前のテンプレートをご利用の場合は、パッチが適用されてお
りません。念のため、bash脆弱性情報の確認の上、必要であればパッチ適用
の対応をお勧めいたします。


■バージョン確認方法

バージョンの確認方法は、以下についても参考にしてください。

http://support.ntt.com/bhec/faq/search

よくあるご質問

Q.利用しているゲストOSのバージョンの確認はどのように行えますか。
Q.利用しているLinuxディストリビューションに含まれる、ツールのバージョン
確認はどのように実施できますか?


■対応方法
今回の脆弱性問題への対応は以下の対応を強く推奨いたします。

(1)脆弱性解消版へのアップデート/パッチ適用
(2)上記実施が困難な場合は、
   ・フィルタリング(WAF や iptables を用いるなど)
    ・アクセス制限(ネットワーク機器を用いるなど)
    ・可能な場合、一時的な公開停止
を検討の上、実施をお勧めいたします。
  

■■ 脆弱性と対応方法の情報 ■■
※以下、サイトでも随時情報が更新されておりますので、継続的な確認を実施してください。


[ 情報処理推進機構(IPA)からの情報(日本語)]
http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

[ JPCERT からの情報(日本語)]
http://www.jpcert.or.jp/at/2014/at140037.html


 [ Redhat社 からの情報 ]
(日本語)
https://access.redhat.com/ja/solutions/1212333



ー 以上 ー

 

前のページへ戻る