VMware/サーバー/ネットワーク監視ツール
NEWS
2014.09.30

GNU Bash 脆弱性 (CVE-2014-6271、CVE-2014-7169) について

GNU Bash 脆弱性 (CVE-2014-6271、CVE-2014-7169) について

拝啓 貴社益々ご清栄のこととお慶び申し上げます。平素は格別のご高配を賜り厚く御礼申し上げます。
先日GNU Bashについての脆弱性が発表されました。アイビーシーの提供製品に対する影響について調査を実施いたしましたので以下に記載いたします。

敬具

■GNU Bash 脆弱性 (CVE-2014-6271、CVE-2014-7169)
本脆弱性は、UNIXおよびLinuxで広く使われているシェル「Bourne Again Shell(Bash)」を利用した脆弱性で、攻撃者が一定の条件のもと特別に細工した環境変数を使用し、環境変数に含まれる不正なコマンドをリモートで実行できる可能性があると報告がございます。

○詳細は下記URLを参照下さい。
http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
https://www.jpcert.or.jp/at/2014/at140037.html

○攻撃手法の参考URL
https://access.redhat.com/ja/articles/1210893

■対象製品

  • System Answer        : ISA-LSH、ISA-SH、ISA-RSH、ISA-BSH
  • System Answer G2 Appliance : Light、RAID、Virtual
  • System Answer G2 Software : Enterprise Ware、Datacenter Ware

■調査結果

  • System Answer        : ISA-LSH、ISA-SH、ISA-RSH、ISA-BSH
  • System Answer G2 Appliance : Light、RAID、Virtual
  • System Answer G2 Software : Enterprise Ware、Datacenter Ware
    対象バージョンのBashを利用しておりますが、アプリケーションの実装状況と攻撃手法の参考URLの情報をもとに調査を行い、本脆弱性による直接的な影響が無い事を確認致しました。
  • Webアプリケーション
    CGIモードで実行されるアプリケーションはありません。
  • コマンドライン
    SSHではログイン時chrootされた環境であり、使用できるコマンドに制限があるログイン後の処理の為、故意的操作に限定され直接的な影響はありません。
    アクセス制限を行う事でリスクを軽減できます。

■対策

  • System Answer G2 Software : Enterprise Ware、Datacenter Ware
    ディストリビュータが提供する情報をもとに、bashを最新バージョンにアップデートしてご利用ください。
  • System Answer        : ISA-LSH、ISA-SH、ISA-RSH、ISA-BSH
  • System Answer G2 Appliance : Light、RAID、Virtual
    よりセキュリティを高めてご利用頂くための対策を記載いたします。設定のご確認・変更についてご検討頂けますと幸いです。

    System AnswerおよびSystem Answer G2 Appliance製品の設置先としてFirewall内に設置して頂く事と、http/ssh等のアクセス制御を実施して頂くことを推奨いたします。アクセス制御の設定方法について記載いたします。本件について継続して詳細な調査を実施し、恒久的な対応について検討を行います。

◆httpアクセス
初期値では全てのIPアドレスからの接続を許可しております為、適切な接続元IPアドレスもしくはネットワークアドレスの許可設定を実施下さい。

  • System Answer製品の場合
    [監視設定]→[管理ツール]→[セキュリティ]→[アクセス制御]→[HTTP]より、IPアドレスの設定および初期設定の「0.0.0.0/0.0.0.0」を削除頂く事で、必要な接続先を制御下さい。
  • System Answer G2 Appliance製品の場合
    [設定]→[監視装置設定]→[管理ツール]→[アクセス制御]→[HTTPD設定]より、アクセス許可させるIPアドレスを入力下さい。
    IPアドレスが無い場合、「0.0.0.0/0.0.0.0」の全てのIPアドレスから接続が許可された状態となります。
  • ◆sshアクセス
    初期値ではアクセス拒否となっております。サービスを有効とされている場合は、適切なIPアドレスもしくはネットワークアドレスの許可設定を実施下さい。

    • System Answer製品の場合
      [監視設定]→[管理ツール]→[セキュリティ]→[アクセス制御]→[SSH]より、不要にサービスが有効となっている場合は、必要に応じ無効または適切なIPアドレスのみ許可設定下さい。
    • System Answer G2 Appliance製品の場合
      [設定]→[監視装置設定]→[管理ツール]→[アクセス制御]→[SSH設定]より、アクセス許可させるIPアドレスを入力下さい。
      IPアドレスが無い場合、接続が拒否されるアクセス制御を実装しております。

    ◆その他
    System AnswerおよびSystem Answer G2 Appliance製品では、外部からの不要なアクセスを制御する為に、アクセス制御の設定を許可されたサービス以外は、接続拒否を行う制限が入っております。

    以上

    お電話でのお問い合わせ
    受付 9:30〜17:30(平日)
    トップに戻る
    上に戻る