2014/9/25 (木) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
問題の概要
このたび、多くのUNIX系OSで標準的に使われるシェル(ユーザからの操作を受け 付け、結果を表示するソフトウェア)の一つ。また、それを実行するコマンドで ある「bash」にリモートから任意のコマンドが実行される可能性のある脆弱性が 公表されました。
詳細につきましては、以下の注意喚起をご参照ください。
bash の脆弱性 (CVE-2014-6271,CVE-2014-7169) に関する注意喚起
なお、今回の脆弱性におきましては、bash のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてbash をアップデートする方法をご案内いたします。
セキュリティパッチ適用対象OS及びバーション対照表(CVE-2014-7169 の脆弱性の修正パッケージ)
| RHEL 4 | bash-3.0-27.el4.2以降 |
| RHEL 5 | bash-3.2-33.el5_11.4以降 |
| CentOS 5 | bash-3.2-33.el5_10.4以降 |
| CentOS/RHEL 6 | bash-4.1.2-15.el6_5.2以降 |
※2014年9月26日現在の情報となります。 CVE-2014-6271 および、 CVE-2014-7169 の修正パッケージのバージョンとなります。
※RHEL4は有償サポート延長プログラムをご購入のお客様のみがアップデート可能となります。
※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、
アップデートはできません。
※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。
アップデートに関する注意事項
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
bash アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). OSのバージョン確認方法
対象のOSバージョンである事を確認します。
| # cat /etc/redhat-release |
(3). インストールされているパッケージの確認
対象のOSバージョンである事を確認します。
| # rpm -qa | egrep ‘^bash’ |
特に何も表示されない場合には、bash パッケージがインストールされておりませんので、脆弱性の影響はございません。bash から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。bash のバージョン確認ページ。
(4). アップデートの実施
以下のコマンドを実行し、アップデートを行います
Red Hat Enterprise Linux 4 の場合
| # up2date -u bash-* |
CentOS 5/6 、Red Hat Enterprise Linux 5/6 の場合
| # yum update bash-* |
(5). bashパッケージのバージョン確認
| # rpm -qa | egrep ‘^bash’ |
Bash パッケージのバージョンが、以下のページに記載されているリリース番号と同じになっているかどうかを確認します。